Aanmelden instellen voor een specifieke Microsoft Entra-organisatie in Azure Active Directory B2C

Belangrijk

Vanaf 1 mei 2025 is Azure AD B2C niet meer beschikbaar voor nieuwe klanten. Meer informatie vindt u in onze veelgestelde vragen.

In dit artikel wordt beschreven hoe u aanmelding inschakelt voor gebruikers van een specifieke Microsoft Entra-organisatie met behulp van een gebruikersstroom in Azure AD B2C.

Voordat u begint, gebruikt u de selector Een beleidstype kiezen boven aan deze pagina om het type beleid te kiezen dat u instelt. U kunt in Azure Active Directory B2C op twee manieren definiëren hoe gebruikers met uw toepassingen communiceren: via vooraf gedefinieerde gebruikersstromen of via volledig configureerbaar aangepast beleid. De stappen die in dit artikel zijn vereist, verschillen voor elke methode.

Opmerking

In Azure Active Directory B2C is aangepast beleid voornamelijk bedoeld om met complexe scenario's om te gaan. Voor de meeste scenario's wordt aangeraden ingebouwde gebruikersstromen te gebruiken. Als u dit nog niet hebt gedaan, vindt u meer informatie over aangepast beleid in het starterspakket in Aan de slag met aangepaste beleidsregels in Active Directory B2C.

Vereiste voorwaarden

• Maak een gebruikersstroom, zodat gebruikers zich bij uw toepassing kunnen registreren en aanmelden.
• Registreer een web-app.

• Voltooi de stappen in Aan de slag met aangepaste policies in Active Directory B2C. In deze zelfstudie leert u hoe u aangepaste beleidsbestanden bijwerkt voor het gebruik van uw Azure AD B2C-tenantconfiguratie.
• Registreer een web-app.

Het uitgeversdomein van de toepassing controleren

Vanaf november 2020 worden nieuwe toepassingsregistraties weergegeven als niet-geverifieerd in de gebruikerstoestemmingsprompt, tenzij het uitgeversdomein van de toepassing is geverifieerden de identiteit van het bedrijf is geverifieerd met het Microsoft Partner Network en gekoppeld aan de toepassing. (Meer informatie over deze wijziging.) Houd er rekening mee dat voor Azure AD B2C-gebruikersstromen het domein van de uitgever alleen wordt weergegeven wanneer u een Microsoft-account of een andere Microsoft Entra-tenant als id-provider gebruikt. Ga als volgt te werk om aan deze nieuwe vereisten te voldoen:

1. Verifieer uw bedrijfsidentiteit met behulp van uw MPN-account (Microsoft Partner Network). In dit proces wordt informatie over uw bedrijf en de eerste contactpersoon van uw bedrijf geverifieerd.
2. Voltooi het verificatieproces van de uitgever om uw MPN-account te koppelen aan uw app-registratie met behulp van een van de volgende opties:
   • Als de app-registratie voor de Id-provider van het Microsoft-account zich in een Microsoft Entra-tenant bevindt, controleert u uw app in de portal voor app-registratie.
   • Als uw app-registratie voor de id-provider van het Microsoft-account zich in een Azure AD B2C-tenant bevindt, markeert u uw app als door de uitgever geverifieerd met behulp van Microsoft Graph API's (bijvoorbeeld Graph Explorer). De gebruikersinterface voor het instellen van de geverifieerde uitgever van een app is momenteel uitgeschakeld voor Azure AD B2C-tenants.

Een Microsoft Entra-app registreren

Als u aanmelding wilt inschakelen voor gebruikers met een Microsoft Entra-account van een specifieke Microsoft Entra-organisatie, moet u in Azure Active Directory B2C (Azure AD B2C) een toepassing maken in de Azure Portal. Zie Een toepassing registreren bij het Microsoft-identiteitsplatform voor meer informatie.

1. Meld u aan bij het Azure-portaal.

2. Als je toegang hebt tot meerdere tenants, selecteer je het Instellingen-pictogram in het bovenste menu om over te schakelen naar je Microsoft Entra ID-tenant vanuit het menu Directories + abonnementen.

3. Zoek en selecteer Microsoft Entra ID in Azure Portal.

4. Selecteer in het linkermenu onder Beherende optie App-registraties.

5. Selecteer + Nieuwe registratie.

6. Voer een naam in voor uw toepassing. Bijvoorbeeld: Azure AD B2C App.

7. Accepteer de standaardselectie van accounts in deze organisatiedirectory alleen (alleen standaarddirectory - één tenant) voor deze toepassing.

8. Accepteer voor de omleidings-URI de waarde van Web en voer de volgende URL in kleine letters in, die your-B2C-tenant-name wordt vervangen door de naam van uw Azure AD B2C-tenant.

   https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp
   

   Bijvoorbeeld: https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp.

   Als u een aangepast domein gebruikt, voert u het volgende in https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp. Vervang your-domain-name door uw aangepaste domein en your-tenant-name door de naam van uw tenant.

9. Selecteer Registreren. Noteer de toepassings-id (client) voor gebruik in een latere stap.

10. Selecteer Certificaten en geheimen en selecteer vervolgens Nieuw clientgeheim.

11. Voer een beschrijving in voor het geheim, selecteer een vervaldatum en selecteer vervolgens Toevoegen. Noteer de waarde van het geheim voor gebruik in een latere stap.

Microsoft Entra-id configureren als identiteitsprovider

1. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het hoofdmenu om over te schakelen naar uw Azure AD B2C-tenant vanuit het menu Mappen + abonnementen.

2. Kies Alle services in de linkerbovenhoek van de Azure Portal en zoek naar en selecteer Azure AD B2C.

3. Selecteer Id-providers en selecteer vervolgens Nieuwe OpenID Connect-provider.

4. Voer een naam in. Voer bijvoorbeeld Contoso Microsoft Entra ID in.

5. Voer bij de URL van metagegevens de volgende URL in die wordt vervangen door {tenant} de domeinnaam van uw Microsoft Entra-tenant:

   https://login.microsoftonline.com/{tenant}/v2.0/.well-known/openid-configuration
   

Bijvoorbeeld: https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/.well-known/openid-configuration. Als u een aangepast domein gebruikt, vervangt u het contoso.com door uw aangepaste domein in https://login.microsoftonline.com/contoso.com/v2.0/.well-known/openid-configuration.

1. Voer voor client-idde toepassings-id in die u eerder hebt vastgelegd.

2. Voer bij Klantgeheim de waarde van het cliëntgeheim in die u eerder hebt vastgelegd.

3. Voer voor Bereik het volgende in openid profile.

4. Laat de standaardwaarden voor het antwoordtype en de responsmodus staan.

5. (Optioneel) Voer voor de domeinhint het volgende in contoso.com. Raadpleeg Direct aanmelden met behulp van Azure Active Directory B2C instellen.

6. Selecteer onder Claimtoewijzing van id-provider de volgende claims:

   • Gebruikers-ID:oid
   • Weergavenaam: naam
   • Voornaam: given_name
   • Achternaam: family_name
   • E-mail: e-mail

7. Selecteer Opslaan.

Microsoft Entra-identiteitsprovider toevoegen aan een gebruikersstroom

Op dit moment is de Microsoft Entra-identiteitsprovider ingesteld, maar deze is nog niet beschikbaar op een van de aanmeldingspagina's. De Microsoft Entra-identiteitsprovider toevoegen aan een gebruikersstroom:

1. Selecteer gebruikersstromen in uw Azure AD B2C-tenant.
2. Klik op de gebruikersstroom waaraan u de Microsoft Entra-identiteitsprovider wilt toevoegen.
3. Selecteer onder Instellingen de optie Id-providers
4. Selecteer onder Aangepaste id-providers de optie Contoso Microsoft Entra-id.
5. Selecteer Opslaan.
6. Selecteer Gebruikersstroom uitvoeren om uw beleid te testen.
7. Selecteer voor Toepassing een webtoepassing die u eerder hebt geregistreerd. De antwoord-URL moet https://jwt.ms weergeven.
8. Klik op de knop Voer gebruikersstroom uit.
9. Selecteer op de aanmeldings- of aanmeldingspagina de optie Contoso Microsoft Entra-id om u aan te melden met een Microsoft Entra Contoso-account.

Als het aanmeldingsproces is geslaagd, wordt uw browser omgeleid naar https://jwt.ms, waarin de inhoud van het token wordt weergegeven dat wordt geretourneerd door Azure AD B2C.

Een beleidssleutel maken

U moet de toepassingssleutel opslaan die u hebt gemaakt in uw Azure AD B2C-tenant.

1. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het hoofdmenu om over te schakelen naar uw Azure AD B2C-tenant vanuit het menu Mappen + abonnementen.
2. Kies Alle services in de linkerbovenhoek van de Azure Portal en zoek naar en selecteer Azure AD B2C.
3. Selecteer onder Beleidde optie Identity Experience Framework.
4. Selecteer Beleidssleutels en selecteer vervolgens Toevoegen.
5. Kies voor Opties de optie Manual.
6. Voer een naam in voor de beleidssleutel. Bijvoorbeeld: ContosoAppSecret. Het voorvoegsel B2C_1A_ wordt automatisch toegevoegd aan de naam van uw sleutel wanneer deze wordt gemaakt, dus de verwijzing in de XML in de volgende sectie is naar B2C_1A_ContosoAppSecret.
7. Voer in Geheim de geheime waarde van uw klant in die u eerder hebt opgenomen.
8. Voor sleutelgebruik selecteert u Signature.
9. Klik op Creëren.

Microsoft Entra-id configureren als identiteitsprovider

Als u gebruikers in staat wilt stellen zich aan te melden met een Microsoft Entra-account, moet u Microsoft Entra-id definiëren als een claimprovider waarmee Azure AD B2C kan communiceren via een eindpunt. Het eindpunt biedt een set claims die worden gebruikt door Azure AD B2C om te controleren of een specifieke gebruiker is geverifieerd.

U kunt Microsoft Entra-id definiëren als een claimprovider door Microsoft Entra-ID toe te voegen aan het element ClaimsProvider in het extensiebestand van uw polis.

1. Open het bestandTrustFrameworkExtensions.xml .

2. Zoek het element ClaimsProviders . Als deze niet bestaat, voegt u deze toe onder het hoofdelement.

3. Voeg als volgt een nieuwe ClaimsProvider toe:

   <ClaimsProvider>
     <Domain>Contoso</Domain>
     <DisplayName>Login using Contoso</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="AADContoso-OpenIdConnect">
         <DisplayName>Contoso Employee</DisplayName>
         <Description>Login with your Contoso account</Description>
         <Protocol Name="OpenIdConnect"/>
         <Metadata>
           <Item Key="METADATA">https://login.microsoftonline.com/tenant-name.onmicrosoft.com/v2.0/.well-known/openid-configuration</Item>
           <Item Key="client_id">00001111-aaaa-2222-bbbb-3333cccc4444</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid profile</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_ContosoAppSecret"/>
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="oid"/>
           <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid"/>
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin"/>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Werk onder het element ClaimsProvider de waarde voor Domein bij naar een unieke waarde die kan worden gebruikt om het te onderscheiden van andere id-providers. Bijvoorbeeld Contoso. U plaatst geen a .com aan het einde van deze domeininstelling.

5. Werk onder het element ClaimsProvider de waarde voor DisplayName bij naar een beschrijvende naam voor de claimprovider. Deze waarde wordt momenteel niet gebruikt.

Werk het technische profiel bij

Als u een token van het Microsoft Entra-eindpunt wilt ophalen, moet u de protocollen definiëren die Azure AD B2C moet gebruiken om te communiceren met Microsoft Entra-id. Dit gebeurt in het TechnicalProfile-element van ClaimsProvider.

1. Werk de ID van het element TechnicalProfile bij. Deze ID wordt gebruikt om te verwijzen naar dit technische profiel uit andere delen van de polis, bijvoorbeeld AADContoso-OpenIdConnect.
2. Werk de waarde voor DisplayName bij. Deze waarde wordt weergegeven op de aanmeldingsknop op het aanmeldingsscherm.
3. Werk de waarde voor Beschrijving bij.
4. Microsoft Entra ID maakt gebruik van het OpenID Connect-protocol, dus zorg ervoor dat de waarde voor Protocol gelijk is aan OpenIdConnect.
5. Stel de waarde van de METAGEGEVENS in op https://login.microsoftonline.com/tenant-name.onmicrosoft.com/v2.0/.well-known/openid-configuration, waar tenant-name is de naam van uw Microsoft Entra-tenant. Bijvoorbeeld https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/.well-known/openid-configuration
6. Stel client_id in op de toepassings-id van de toepassingregistratie.
7. Werk onder CryptographicKeys de waarde van StorageReferenceId bij naar de naam van de beleidssleutel die u eerder hebt gemaakt. Bijvoorbeeld: B2C_1A_ContosoAppSecret.

Een gebruikerstraject toevoegen

Op dit moment is de id-provider ingesteld, maar deze is nog niet beschikbaar op een van de aanmeldingspagina's. Als u geen eigen aangepast gebruikerstraject hebt, maakt u een duplicaat van een bestaand sjabloongebruikerstraject. Ga anders verder met de volgende stap.

1. Open het bestandTrustFrameworkBase.xml vanuit het starterspakket.
2. Zoek en kopieer de volledige inhoud van het UserJourney-element waarin Id="SignUpOrSignIn" voorkomt.
3. Open de TrustFrameworkExtensions.xml en zoek het element UserJourneys . Als het element niet bestaat, voegt u er een toe.
4. Plak de volledige inhoud van het UserJourney-element dat u hebt gekopieerd als een kind van het element UserJourneys .
5. Wijzig de naam van de ID van de gebruikersreis. Bijvoorbeeld: Id="CustomSignUpSignIn".

De id-provider toevoegen aan een gebruikerstraject

Nu u een gebruikerstraject hebt, voegt u de nieuwe id-provider toe aan het gebruikerstraject. U voegt eerst een aanmeldingsknop toe en koppelt vervolgens de knop aan een actie. Het technische profiel dat u eerder hebt gedefinieerd is de actie.

1. Zoek het orkestratiestap-element dat Type="CombinedSignInAndSignUp" of Type="ClaimsProviderSelection" bevat in de gebruiksreis. Dit is meestal de eerste orkestratiestap. Het element ClaimsProviderSelections bevat een lijst met id-providers waarmee een gebruiker zich kan aanmelden. De volgorde van de elementen bepaalt de volgorde van de aan de gebruiker gepresenteerde aanmeldingsknoppen. Voeg een XML-element ClaimsProviderSelection toe. Stel de waarde van TargetClaimsExchangeId in op een vriendelijke naam.

2. Voeg in de volgende orkestratiestap een ClaimsExchange-element toe. Stel de id in op de waarde van de exchange-id van de doelclaims. Werk de waarde van TechnicalProfileReferenceId bij naar de id van het technische profiel dat u eerder hebt gemaakt.

In de volgende XML ziet u de eerste twee indelingsstappen van een gebruikerstraject met de id-provider:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="AzureADContosoExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="AzureADContosoExchange" TechnicalProfileReferenceId="AADContoso-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

Het vertrouwende partij-beleid configureren

Het relying party-beleid, bijvoorbeeld SignUpSignIn.xml, geeft het gebruikerstraject op dat Door Azure AD B2C wordt uitgevoerd. Zoek het element DefaultUserJourney in relying party. Werk de ReferenceId bij zodat deze overeenkomt met de ID van de gebruikersreis, waarin u de identity provider hebt toegevoegd.

In het volgende voorbeeld is de CustomSignUpSignIn voor het gebruikerstraject ingesteld opCustomSignUpSignIn:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Het aangepaste beleid uploaden

1. Meld u aan bij het Azure-portaal.
2. Selecteer het pictogram Directory + Abonnement in de portalwerkbalk en selecteer vervolgens de map die uw Azure AD B2C-tenant bevat.
3. Zoek en selecteer Azure AD B2C in de Azure-portal.
4. Selecteer onder Beleidde optie Identity Experience Framework.
5. Selecteer Aangepast beleid uploaden en upload vervolgens de twee beleidsbestanden die u hebt gewijzigd, in de volgende volgorde: het extensiebeleid, bijvoorbeeld TrustFrameworkExtensions.xml, en vervolgens het relying party-beleid, zoals SignUpSignIn.xml.

Uw aangepaste beleid testen

1. Selecteer uw relying party-beleid, bijvoorbeeld B2C_1A_signup_signin.
2. Selecteer voor Toepassing een webtoepassing die u eerder hebt geregistreerd. De antwoord-URL moet https://jwt.ms weergeven.
3. Selecteer de knop Nu uitvoeren .
4. Selecteer op de aanmeldings- of aanmeldingspagina de optie Contoso-werknemer om u aan te melden met een Microsoft Entra Contoso-account.

Als het aanmeldingsproces is geslaagd, wordt uw browser omgeleid naar https://jwt.ms, waarin de inhoud van het token wordt weergegeven dat wordt geretourneerd door Azure AD B2C.

[Optioneel] Optionele claims configureren

Als u de family_name en given_name claims van Microsoft Entra ID wilt ophalen, kunt u optionele claims configureren voor uw toepassing in de gebruikersinterface of het toepassingsmanifest van Azure Portal. Zie Optionele claims opgeven voor uw Microsoft Entra-app voor meer informatie.

1. Meld u aan bij de Azure Portal met behulp van de Microsoft Entra-tenant van uw organisatie. Of als u al bent aangemeld, controleert u of u de map gebruikt die de Microsoft Entra-tenant van uw organisatie bevat (bijvoorbeeld Contoso):
   1. Selecteer op de portalwerkbalk het pictogram Mappen + abonnementen.
   2. Op de Portalinstellingen | Directory's + abonnementenpagina, vindt u uw Microsoft Entra-directory in de directorynaam lijst, en selecteer Schakel.
2. Zoek en selecteer Microsoft Entra ID in Azure Portal.
3. Selecteer in het linkermenu onder Beherende optie App-registraties.
4. Selecteer in de lijst de toepassing waarvoor u optionele claims wilt configureren, zoals Azure AD B2C App.
5. Selecteer in de sectie Beheren de optie Tokenconfiguratie.
6. Selecteer Optionele claim toevoegen.
7. Selecteer voor het tokentype de optie ID.
8. Selecteer de optionele claims die u wilt toevoegen, family_name en given_name.
9. Selecteer Toevoegen. Als de machtiging Het Microsoft Graph-profiel inschakelen (vereist om claims in token weer te geven) wordt weergegeven, schakelt u deze in en selecteert u vervolgens opnieuw Toevoegen .

[Optioneel] De authenticiteit van uw app verifiëren

Verificatie voor uitgevers helpt uw gebruikers inzicht te krijgen in de authenticiteit van de app die u heeft geregistreerd. Een geverifieerde app betekent dat de uitgever van de app zijn identiteit heeft geverifieerd met behulp van zijn Microsoft Partner Network (MPN). Meer informatie over hoe u aangeeft dat uw app door de uitgever is geverifieerd.

Volgende stappen

Meer informatie over het doorgeven van het Microsoft Entra-token aan uw toepassing.