Aanmelding instellen voor Microsoft Entra-id met meerdere tenants met behulp van aangepast beleid in Azure Active Directory B2C

Belangrijk

Vanaf 1 mei 2025 is Azure AD B2C niet meer beschikbaar voor nieuwe klanten. Meer informatie vindt u in onze veelgestelde vragen.

Voordat u begint, gebruikt u de selector Een beleidstype kiezen boven aan deze pagina om het type beleid te kiezen dat u instelt. U kunt in Azure Active Directory B2C op twee manieren definiëren hoe gebruikers met uw toepassingen communiceren: via vooraf gedefinieerde gebruikersstromen of via volledig configureerbaar aangepast beleid. De stappen die in dit artikel zijn vereist, verschillen voor elke methode.

Deze functie is alleen beschikbaar voor aangepast beleid. Voor installatiestappen selecteert u Aangepast beleid in de voorgaande selector.

In dit artikel wordt beschreven hoe u aanmelding inschakelt voor gebruikers met behulp van het multitenant-eindpunt voor Microsoft Entra-id, waardoor gebruikers van meerdere Microsoft Entra-tenants zich kunnen aanmelden met Azure AD B2C, zonder dat u voor elke tenant een id-provider hoeft te configureren. Gastleden in een van deze tenants kunnen zich echter niet aanmelden. Daarvoor moet u elke tenant afzonderlijk configureren.

Vereiste voorwaarden

• Maak een gebruikersstroom, zodat gebruikers zich bij uw toepassing kunnen registreren en aanmelden.
• Registreer een web-app.

• Voltooi de stappen in Aan de slag met aangepaste policies in Active Directory B2C. In deze zelfstudie leert u hoe u aangepaste beleidsbestanden bijwerkt voor het gebruik van uw Azure AD B2C-tenantconfiguratie.
• Registreer een web-app.

Opmerking

In dit artikel wordt ervan uitgegaan dat het SocialAndLocalAccounts startpakket wordt gebruikt in de voorgaande stappen die in de voorvereiste zijn genoemd.

Een Microsoft Entra-app registreren

Als u gebruikers in staat wilt stellen zich aan te melden bij Azure AD B2C met een Microsoft Entra-account, moet u eerst een toepassing maken in de Microsoft Entra-tenant vanuit de Azure Portal. Zie Een toepassing registreren bij het Microsoft-identiteitsplatform voor meer informatie.

1. Meld u aan bij het Azure-portaal.

2. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het bovenste menu om over te schakelen naar uw Microsoft Entra-tenant in het menu Mappen en abonnementen .

3. Kies Alle services in de linkerbovenhoek van Azure Portal en zoek en selecteer app-registraties.

4. Selecteer Nieuwe registratie.

5. Voer een naam in voor uw toepassing. Bijvoorbeeld: Azure AD B2C App.

6. Selecteer Accounts in een organisatiemap (Elke Microsoft Entra-map - Multitenant) voor deze toepassing.

7. Accepteer voor de omleidings-URI de waarde van Web en voer de volgende URL in kleine letters in, die your-B2C-tenant-name wordt vervangen door de naam van uw Azure AD B2C-tenant.

   https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp
   

   Bijvoorbeeld: https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp.

   Als u een aangepast domein gebruikt, voert u het volgende in https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp. Vervang your-domain-name door uw aangepaste domein en your-tenant-name door de naam van uw tenant.

8. Selecteer Registreren. Noteer de toepassings-id (client) voor gebruik in een latere stap.

9. Selecteer Certificaten en geheimen en selecteer vervolgens Nieuw clientgeheim.

10. Voer een beschrijving in voor het geheim, selecteer een vervaldatum en selecteer vervolgens Toevoegen. Noteer de waarde van het geheim voor gebruik in een latere stap.

Opmerking

Het geheim van de klant wordt na dit punt niet meer getoond. Als u er geen verslag van maakt, moet u een nieuwe maken.

[Optioneel] Optionele claims configureren

Als u de family_name, en given_name claims van Microsoft Entra ID wilt ophalen, kunt u optionele claims voor uw toepassing configureren in de gebruikersinterface van Azure Portal of het toepassingsmanifest. Zie Optionele claims opgeven voor uw Microsoft Entra-app voor meer informatie.

1. Meld u aan bij het Azure-portaal. Zoek en selecteer Microsoft Entra-id.
2. Selecteer app-registraties vanuit de sectie Beheren.
3. Selecteer de toepassing waarvoor u optionele claims wilt configureren in de lijst.
4. Selecteer in de sectie Beheren de optie Tokenconfiguratie.
5. Selecteer Optionele claim toevoegen.
6. Selecteer voor het tokentype de optie ID.
7. Selecteer de optionele claims die u wilt toevoegen, family_name, en given_name.
8. Selecteer Toevoegen. Als de e-mailmachtiging voor Microsoft Graph inschakelen (vereist om claims in token weer te geven) wordt weergegeven, schakelt u deze in en selecteert u vervolgens opnieuw Toevoegen .

[Optioneel] De authenticiteit van uw app verifiëren

Verificatie voor uitgevers helpt uw gebruikers inzicht te krijgen in de authenticiteit van de app die u heeft geregistreerd. Een geverifieerde app betekent dat de uitgever van de app zijn identiteit heeft geverifieerd met behulp van zijn Microsoft Partner Network (MPN). Meer informatie over hoe u aangeeft dat uw app door de uitgever is geverifieerd.

Een beleidssleutel maken

U moet nu de toepassingssleutel opslaan die u hebt gemaakt in uw Azure AD B2C-tenant.

1. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het hoofdmenu om over te schakelen naar uw Azure AD B2C-tenant vanuit het menu Mappen + abonnementen.
2. Kies Alle services in de linkerbovenhoek van de Azure Portal en zoek naar en selecteer Azure AD B2C.
3. Selecteer onder Beleidde optie Identity Experience Framework.
4. Selecteer Beleidssleutels en selecteer vervolgens Toevoegen.
5. Kies voor Opties de optie Manual.
6. Voer een naam in voor de beleidssleutel. Bijvoorbeeld: AADAppSecret. Het voorvoegsel B2C_1A_ wordt automatisch toegevoegd aan de naam van uw sleutel wanneer deze wordt gemaakt, dus de verwijzing in de XML in de volgende sectie is naar B2C_1A_AADAppSecret.
7. Voer in Geheim het clientgeheim in dat u eerder hebt genoteerd.
8. Voor sleutelgebruik selecteert u Signature.
9. Klik op Creëren.

Microsoft Entra-id configureren als identiteitsprovider

Als u gebruikers in staat wilt stellen zich aan te melden met een Microsoft Entra-account, moet u Microsoft Entra-id definiëren als een claimprovider waarmee Azure AD B2C kan communiceren via een eindpunt. Het eindpunt biedt een set claims die worden gebruikt door Azure AD B2C om te controleren of een specifieke gebruiker is geverifieerd.

U kunt Microsoft Entra-id definiëren als een claimprovider door Microsoft Entra-ID toe te voegen aan het element ClaimsProvider in het extensiebestand van uw polis.

1. Open het bestand SocialAndLocalAccounts/TrustFrameworkExtensions.xml (zie de bestanden die u hebt gebruikt in de vereisten).

2. Zoek het element ClaimsProviders . Als deze niet bestaat, voegt u deze toe onder het hoofdelement.

3. Voeg als volgt een nieuwe ClaimsProvider toe:

   <ClaimsProvider>
     <Domain>commonaad</Domain>
     <DisplayName>Common AAD</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="AADCommon-OpenIdConnect">
         <DisplayName>Multi-Tenant AAD</DisplayName>
         <Description>Login with your Contoso account</Description>
         <Protocol Name="OpenIdConnect"/>
         <Metadata>
           <Item Key="METADATA">https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration</Item>
           <!-- Update the Client ID below to the Application ID -->
           <Item Key="client_id">00001111-aaaa-2222-bbbb-3333cccc4444</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid profile</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
           <Item Key="DiscoverMetadataByTokenIssuer">true</Item>
           <!-- The key below allows you to specify each of the Azure AD tenants that can be used to sign in. Update the GUIDs below for each tenant. -->
           <Item Key="ValidTokenIssuerPrefixes">https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000,https://login.microsoftonline.com/11111111-1111-1111-1111-111111111111</Item>
           <!-- The commented key below specifies that users from any tenant can sign-in. Uncomment if you would like anyone with an Azure AD account to be able to sign in. -->
           <!-- <Item Key="ValidTokenIssuerPrefixes">https://login.microsoftonline.com/</Item> -->
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_AADAppSecret"/>
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="oid"/>
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin"/>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Werk onder het element ClaimsProvider de waarde voor Domein bij naar een unieke waarde die kan worden gebruikt om het te onderscheiden van andere id-providers.

5. Werk de waarde voor DisplayName onder het element TechnicalProfile bij, bijvoorbeeld Multi-Tenant AAD. Deze waarde wordt weergegeven op de aanmeldknop op uw aanmeldingspagina.

6. Stel client_id in op de toepassings-id van de Microsoft Entra multitenant-toepassing die u eerder hebt geregistreerd.

7. Werk onder CryptographicKeys de waarde van StorageReferenceId bij naar de naam van de beleidssleutel die u eerder hebt gemaakt. Bijvoorbeeld: B2C_1A_AADAppSecret.

Toegang beperken

Door als waarde voor https://login.microsoftonline.com/ te gebruiken, kunnen alle Microsoft Entra-gebruikers zich aanmelden bij uw toepassing. Werk de lijst met geldige tokenuitgevers bij en beperk de toegang tot een specifieke lijst met Microsoft Entra-tenantgebruikers die zich kunnen aanmelden.

Als u de waarden wilt verkrijgen, bekijkt u de metagegevens voor OpenID Connect-detectie voor elk van de Microsoft Entra-tenants waarvan u wilt dat gebruikers zich aanmelden. De indeling van de metagegevens-URL is vergelijkbaar met https://login.microsoftonline.com/your-tenant/v2.0/.well-known/openid-configuration, waar your-tenant is de naam van uw Microsoft Entra-tenant. Voorbeeld:

https://login.microsoftonline.com/fabrikam.onmicrosoft.com/v2.0/.well-known/openid-configuration

Voer deze stappen uit voor elke Microsoft Entra-tenant die moet worden gebruikt om u aan te melden:

1. Open uw browser en ga naar de metagegevens-URL van OpenID Connect voor de tenant. Zoek het object en noteer de issuer waarde ervan. Het moet er ongeveer uitzien als https://login.microsoftonline.com/ aaaabbbb-0000-cccc-1111-dddd2222eeee/v2.0.
2. Kopieer en plak de waarde in de sleutel ValidTokenIssuerPrefixes . Scheid meerdere uitgevers met een komma. Een voorbeeld met twee uitgevers wordt weergegeven in het vorige ClaimsProvider XML-voorbeeld.

Een gebruikerstraject toevoegen

Op dit moment is de id-provider ingesteld, maar deze is nog niet beschikbaar op een van de aanmeldingspagina's. Als u geen eigen aangepast gebruikerstraject hebt, maakt u een duplicaat van een bestaand sjabloongebruikerstraject. Ga anders verder met de volgende stap.

1. Open het bestandTrustFrameworkBase.xml vanuit het starterspakket.
2. Zoek en kopieer de volledige inhoud van het UserJourney-element waarin Id="SignUpOrSignIn" voorkomt.
3. Open de TrustFrameworkExtensions.xml en zoek het element UserJourneys . Als het element niet bestaat, voegt u er een toe.
4. Plak de volledige inhoud van het UserJourney-element dat u hebt gekopieerd als een kind van het element UserJourneys .
5. Wijzig de naam van de ID van de gebruikersreis. Bijvoorbeeld: Id="CustomSignUpSignIn".

De id-provider toevoegen aan een gebruikerstraject

Nu u een gebruikerstraject hebt, voegt u de nieuwe id-provider toe aan het gebruikerstraject. U voegt eerst een aanmeldingsknop toe en koppelt vervolgens de knop aan een actie. Het technische profiel dat u eerder hebt gedefinieerd is de actie.

1. Zoek het orkestratiestap-element dat Type="CombinedSignInAndSignUp" of Type="ClaimsProviderSelection" bevat in de gebruiksreis. Dit is meestal de eerste orkestratiestap. Het element ClaimsProviderSelections bevat een lijst met id-providers waarmee een gebruiker zich kan aanmelden. De volgorde van de elementen bepaalt de volgorde van de aan de gebruiker gepresenteerde aanmeldingsknoppen. Voeg een XML-element ClaimsProviderSelection toe. Stel de waarde van TargetClaimsExchangeId in op een vriendelijke naam.

2. Voeg in de volgende orkestratiestap een ClaimsExchange-element toe. Stel de id in op de waarde van de exchange-id van de doelclaims. Werk de waarde van TechnicalProfileReferenceId bij naar de id van het technische profiel dat u eerder hebt gemaakt.

In de volgende XML ziet u de eerste twee indelingsstappen van een gebruikerstraject met de id-provider:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="AzureADCommonExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="AzureADCommonExchange" TechnicalProfileReferenceId="AADCommon-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

Het vertrouwende partij-beleid configureren

Het relying party-beleid, bijvoorbeeld SignUpSignIn.xml, geeft het gebruikerstraject op dat Door Azure AD B2C wordt uitgevoerd. Zoek het element DefaultUserJourney in relying party. Werk de ReferenceId bij zodat deze overeenkomt met de ID van de gebruikersreis, waarin u de identity provider hebt toegevoegd.

In het volgende voorbeeld is de CustomSignUpSignIn voor het gebruikerstraject ingesteld opCustomSignUpSignIn:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Het aangepaste beleid uploaden

1. Meld u aan bij het Azure-portaal.
2. Selecteer het pictogram Directory + Abonnement in de portalwerkbalk en selecteer vervolgens de map die uw Azure AD B2C-tenant bevat.
3. Zoek en selecteer Azure AD B2C in de Azure-portal.
4. Selecteer onder Beleidde optie Identity Experience Framework.
5. Selecteer Aangepast beleid uploaden en upload vervolgens de twee beleidsbestanden die u hebt gewijzigd, in de volgende volgorde: het extensiebeleid, bijvoorbeeld TrustFrameworkExtensions.xml, en vervolgens het relying party-beleid, zoals SignUpSignIn.xml.

Uw aangepaste beleid testen

1. Selecteer uw relying party-beleid, bijvoorbeeld B2C_1A_signup_signin.
2. Selecteer voor Toepassing een webtoepassing die u eerder hebt geregistreerd. De antwoord-URL moet https://jwt.ms weergeven.
3. Selecteer de knop Nu uitvoeren .
4. Selecteer op de aanmeldings- of aanmeldingspagina de optie Algemene Microsoft Entra-id om u aan te melden met een Microsoft Entra-account.

Als u de aanmeldfunctie voor meerdere tenants wilt testen, voert u de laatste twee stappen uit door gebruik te maken van de referentiële gegevens voor een gebruiker die lid is van een andere Microsoft Entra-tenant. Kopieer het eindpunt Nu uitvoeren en open het in een privébrowservenster, bijvoorbeeld in de incognitomodus in Google Chrome of een InPrivate-venster in Microsoft Edge. Als u het opent in een privébrowservenster, kunt u de volledige gebruikersreis testen door geen Microsoft Entra-referenties in de cache te gebruiken.

Als het aanmeldingsproces is geslaagd, wordt uw browser omgeleid naar https://jwt.ms, waarin de inhoud van het token wordt weergegeven dat wordt geretourneerd door Azure AD B2C.

Zie ook

• Meer informatie over het doorgeven van het Microsoft Entra-token aan uw toepassing.
• Bekijk de Microsoft Entra multitenant federation Live-demo en hoe u Microsoft Entra-toegangstoken doorgeeft Live demo