Verzendenbeveiliging configureren met Azure Active Directory B2C voor verificatie met wachtwoordsleutels

Belangrijk

Vanaf 1 mei 2025 is Azure AD B2C niet meer beschikbaar voor nieuwe klanten. Meer informatie vindt u in onze veelgestelde vragen.

In deze zelfstudie leert u hoe u Verificatie van Azure Active Directory B2C (Azure AD B2C) integreert met de verificatieoplossing voor gehoste wachtwoordsleutels van Transmit Security. Transmit Security maakt gebruik van sterke FIDO2-biometrische verificatie (Fast Identity Online) voor betrouwbare omni-channel-verificatie. De oplossing garandeert een soepele aanmeldingservaring voor klanten op verschillende apparaten en kanalen, terwijl fraude, phishing en het hergebruik van inloggegevens wordt verminderd.

Beschrijving van scenario

In het volgende architectuurdiagram ziet u de implementatie:

1. Gebruiker opent de aanmeldingspagina van Azure AD B2C en meldt zich aan of registreert.
2. Azure AD B2C stuurt de gebruiker door naar Transmit Security met een OpenID Connect-verzoek (OIDC-verzoek).
3. Transmit Security verifieert de gebruiker met behulp van apploze FIDO2-biometrie, zoals een vingerafdruk.
4. Er wordt een gedecentraliseerde authenticatierespons geretourneerd naar Transmit Security.
5. Het OIDC-antwoord wordt doorgegeven aan Azure AD B2C.
6. De gebruiker wordt toegang tot de toepassing verleend of geweigerd op basis van verificatieresultaten.

Vereiste voorwaarden

U hebt het volgende nodig om aan de slag te gaan:

• Een Microsoft Entra-abonnement. Als u nog geen account hebt, kunt u een gratis account krijgen.
• Een Azure AD B2C-tenant die is gekoppeld aan het Entra-abonnement.
• Een geregistreerde webtoepassing in uw Azure AD B2C-tenant.
• Een Transmit Security tenant. Ga naar transmitsecurity.com.

• Een Microsoft Entra-abonnement. Als u nog geen account hebt, kunt u een gratis account krijgen.
• Een Azure AD B2C-tenant die is gekoppeld aan het Entra-abonnement.
• Een geregistreerde webtoepassing in uw Azure AD B2C-tenant.
• Aangepast Azure AD B2C-beleid.
• Een Transmit Security tenant. Ga naar transmitsecurity.com.

Stap 1: Een verzenden-app maken

Meld u aan bij de verzendbeheerportal en maak een toepassing:

1. Selecteer Toepassingen en kies Toepassing toevoegen.

2. Configureer de toepassing met de volgende kenmerken:

   Vastgoed	Beschrijving
   Toepassingsnaam	Toepassingsnaam
   Clientnaam	Clientnaam
   Omleidings-URI's	https://<your-B2C-tenant>.b2clogin.com/<your-B2C-tenant>.onmicrosoft.com/oauth2/authresp waar <your-B2C-tenant> is uw Azure AD B2C-tenantdomein (of <your-B2C-tenant>.b2clogin.com is uw aangepaste domein)

3. Selecteer Toevoegen.

4. Bij registratie worden een client-id en clientgeheim weergegeven. Noteer de waarden die u later wilt gebruiken.

Stap 2: De aanmeldingservaring configureren

Configureer vanuit de verzendbeheerportal de gebruikersverificatie-ervaring:

1. Selecteer Verificatie en selecteer Vervolgens Ervaringenbeheer.

2. Selecteer uw toepassing in de vervolgkeuzelijst.

3. Configureer uw toepassing met de volgende kenmerken:

   Vastgoed	Beschrijving
   Gebruikers-id	E-mail selecteren
   Primaire verificatiemethode	Wachtwoordsleutel selecteren
   Secundaire verificatiemethode	Alleen WEBAuthn QR en Email OTP inschakelen
   Gebruikersgegevens selecteren	Alle standaardvelden verwijderen

4. Selecteer Opslaan.

Stap 3: Voeg Transmit toe als identiteitsprovider

Als u wilt dat gebruikers zich kunnen aanmelden met Transmit Security, configureert u Transmit Security als een nieuwe id-provider. Voer in Azure AD B2C de volgende stappen uit:

1. Meld u aan bij de Azure Portal als ten minste B2C IEF Policy Administrator.

2. In de portalwerkbalk selecteer je Directories + abonnementen.

3. In de Portalinstellingen | Pagina Directory's + abonnementen zoekt u in de lijst Directorynaam de Azure AD B2C-directory en selecteert u Schakelen.

4. Selecteer onder Azure-servicesAzure AD B2C (of selecteer Meer services en gebruik het zoekvak Alle services om te zoeken naar Azure AD B2C).

5. Selecteer Id-providers en selecteer vervolgens Nieuwe OpenID Connect-provider.

6. Configureer de provider als volgt:

   Vastgoed	Beschrijving
   Naam	Naam, zoals Transmit Security
   metagegevens-URL	https://api.transmitsecurity.io/cis/oidc/.well-known/openid-configuration
   Client-ID	Client-ID geleverd door Transmit
   Clientgeheim	Clientgeheim geleverd door Transmit
   Omvang	openid email
   Antwoordtype	code
   Antwoordmodus	form_post
   weergavenaam	email
   E-mailadres	email

7. Selecteer Opslaan.

Stap 4: Een gebruikersstroom maken

Op dit moment is de Transmit Security-identiteitsprovider ingesteld, maar deze is nog niet beschikbaar op geen van de aanmeldingspagina's. Ga als volgt te werk om de Transmit Security identity provider toe te voegen aan een gebruikersstroom:

1. Selecteer in uw Azure AD B2C-tenant onder Beleidde optie Gebruikersstromen.
2. Selecteer Nieuwe gebruikersstroom.
3. Selecteer Registreren en aanmelden van gebruikersstroomtype en selecteer vervolgens Maken.
4. Voer een naam in voor de gebruikersstroom, zoals signupsignin.
5. Onder Identiteitsproviders:
   • Selecteer Geen voor Lokale accounts.
   • Voor Aangepaste identiteitsproviders selecteert u de Transmit Security-provider.
6. Selecteer Maken om de gebruikersstroom toe te voegen.

Stap 5: De gebruikersstroom testen

1. Selecteer gebruikersstromen in de Azure AD B2C-tenant.
2. Kies de gemaakte gebruikersflow, zoals B2C_1_signupsignin.
3. Selecteer Gebruikersstroom uitvoeren:
   • Voor Toepassing selecteer uw geregistreerde webtoepassing.
   • Selecteer voor antwoord-URL de optie https://jwt.ms.
4. Selecteer Gebruikersstroom uitvoeren.
5. De browser wordt omgeleid naar de aanmeldingspagina van Transmit.
6. Voltooi de aanmeldingsstroom: voer uw account-e-mailadres in en verifieer met behulp van biometrische gegevens (bijvoorbeeld vingerafdruk).
7. De browser wordt omgeleid naar https://jwt.ms met een Azure AD B2C-token.

Stap 3: Een beleidssleutel maken

U moet het clientgeheim opslaan van uw Verzenden-toepassing die u eerder hebt vastgelegd in uw Azure AD B2C-tenant.

1. Meld u aan bij het Azure-portaal.

2. In de portalwerkbalk selecteer je Directories + abonnementen.

3. In de Portalinstellingen | Pagina Directory's + abonnementen zoekt u in de lijst Directorynaam de Azure AD B2C-directory en selecteert u Schakelen.

4. Selecteer op de pagina Overzicht onder Beleid de optie Identity Experience Framework.

5. Selecteer Beleidssleutels en selecteer vervolgens Toevoegen.

6. Configureer de beleidssleutel als volgt:

   Vastgoed	Beschrijving
   Opties	Handleiding
   Naam	Naam van beleidssleutel, zoals TransmitClientSecret
   Geheim	Clientgeheim geleverd door Transmit
   Sleutelgebruik	handtekening

7. Selecteer Maken om de beleidssleutel toe te voegen.

Stap 4: Transmit toevoegen als identiteitsprovider

Om aanmelden met Transmit Security in te schakelen, definieert u Transmit Security als een claimsprovider waarmee Azure AD B2C communiceert via een eindpunt. Het eindpunt biedt claims die door Azure AD B2C worden gebruikt om een gebruiker te verifiëren die is geverifieerd met een digitale identiteit op een apparaat.

U kunt de overdrachtsbeveiliging definiëren als een claimprovider door deze toe te voegen aan het element ClaimsProviders in het extensiebestand van uw beleid.

1. Haal de aangepaste beleidsstartpakketten op uit GitHub en werk vervolgens de XML-bestanden in het starterspakket SocialAndLocalAccounts bij met de naam van uw Azure AD B2C-tenant:

   1. Download het .zip-bestand of kloon de opslagplaats:

      git clone https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack
      

   2. Vervang in de bestanden in de map LocalAccounts de tekenreeks yourtenant door de naam van de Azure AD B2C-tenant.

2. Open het LocalAccounts/ TrustFrameworkExtensions.xml.

3. Zoek het element ClaimsProviders . Als dit niet wordt weergegeven, voegt u deze toe onder het hoofdelement.

4. Voeg een nieuwe ClaimsProvider toe die vergelijkbaar is met het volgende voorbeeld:

    <ClaimsProvider>
        <Domain>api.transmitsecurity.io</Domain>
        <DisplayName>Transmit</DisplayName>
        <TechnicalProfiles>
          <TechnicalProfile Id="TS-OpenIdConnect">
            <DisplayName>Transmit</DisplayName>
            <Protocol Name="OpenIdConnect" />
            <Metadata>
              <Item Key="METADATA">https://api.transmitsecurity.io/cis/oidc/.well-known/openid-configuration</Item>
               <!-- Update the Client ID below to the Transmit Security client ID -->
              <Item Key="client_id">00001111-aaaa-2222-bbbb-3333cccc4444</Item>
              <Item Key="response_types">code</Item>
              <Item Key="scope">openid email</Item>
              <Item Key="response_mode">form_post</Item>
              <Item Key="HttpBinding">POST</Item>
              <Item Key="UsePolicyInRedirectUri">false</Item>
              <Item Key="AccessTokenResponseFormat">json</Item>
            </Metadata>
            <CryptographicKeys>
              <Key Id="client_secret" StorageReferenceId="B2C_1A_TransmitClientSecret" />
            </CryptographicKeys>
            <OutputClaims>
              <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
              <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
              <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
              <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
            </OutputClaims>
            <OutputClaimsTransformations>
              <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
              <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
              <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
            </OutputClaimsTransformations>
            <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
          </TechnicalProfile>
        </TechnicalProfiles>
      </ClaimsProvider>    
   

5. Stel client_id in met de client-id van Transmit Security.

6. Werk de sectie client_secret bij met de naam van de beleidssleutel die u hebt gemaakt (bijvoorbeeld B2C_1A_TransmitClientSecret):

   <Key Id="client_secret" StorageReferenceId="B2C_1A_TransmitClientSecret" />
   

7. Selecteer Opslaan.

Stap 5: Een gebruikerstraject toevoegen

Op dit moment is de id-provider ingesteld, maar deze is nog niet beschikbaar op een van de aanmeldingspagina's. Als u een aangepaste gebruikersreis hebt, gaat u verder naar de stap Verzenden toevoegen aan de gebruikersreis. Anders maakt u een duplicaat van een gebruikerstrajectsjabloon:

1. Open het LocalAccounts/ TrustFrameworkBase.xml bestand vanuit het starterspakket.
2. Zoek en kopieer de inhoud van het Element UserJourney dat het bevat Id=SignUpOrSignIn.
3. Open het LocalAccounts/ TrustFrameworkExtensions.xml.
4. Zoek het element UserJourneys . Als er geen element is, voegt u er een toe.
5. Plak het element UserJourney als een onderliggend element van het element UserJourneys.
6. Wijzig de naam van de gebruikersbelevings-id (bijvoorbeeld Id=TransmitSUSI)

Stap 6: Verzenden toevoegen aan het gebruikerstraject

Voeg de nieuwe id-provider toe aan het gebruikerstraject:

1. Zoek het orkestratiestap-element dat Type=CombinedSignInAndSignUp of Type=ClaimsProviderSelection bevat in de gebruiksreis. Dit is meestal de eerste orkestratiestap. Het element ClaimsProviderSelections heeft een lijst met id-providers waarmee gebruikers zich aanmelden. De volgorde van de elementen bepaalt de volgorde van de aanmeldingsknoppen.
2. Voeg een XML-element ClaimsProviderSelection toe.
3. Stel de waarde van TargetClaimsExchangeId in op een vriendelijke naam.
4. Voeg een ClaimExchange-element toe.
5. Stel de id in op de waarde van de exchange-id van de doelclaims.
6. Werk de waarde TechnicalProfileReferenceId bij naar de technische profiel-id die u hebt gemaakt.

In de volgende XML ziet u hoe gebruikersbeleving wordt ingedeeld bij de id-provider:

    <OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
      <ClaimsProviderSelections>
        ...
        <ClaimsProviderSelection TargetClaimsExchangeId="TSIDExchange" />
      </ClaimsProviderSelections>
      ...
    </OrchestrationStep>

    <OrchestrationStep Order="2" Type="ClaimsExchange">
      ...
      <ClaimsExchanges>
        <ClaimsExchange Id="TSIDExchange" TechnicalProfileReferenceId="TS-OpenIdConnect" />
      </ClaimsExchanges>
    </OrchestrationStep>

Stap 7: Het relying party-beleid configureren

Het relying party-beleid, bijvoorbeeld SignUpSignIn.xml, geeft de gebruikersbeleving op die door Azure AD B2C wordt uitgevoerd. Zoek het DefaultUserJourney element binnen de vertrouwende partij. Werk de ReferenceId bij zodat deze overeenkomt met de ID van de gebruikersreis, waarin u de identity provider hebt toegevoegd.

In het volgende voorbeeld is de TransmitSUSI voor het gebruikerstraject ingesteld opTransmitSUSI:

  <RelyingParty>
    <DefaultUserJourney ReferenceId="TransmitSUSI" />
    <TechnicalProfile Id="TS-OpenIdConnect">
      <DisplayName>PolicyProfile</DisplayName>
      <Protocol Name="OpenIdConnect" />
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="displayName" />
        <OutputClaim ClaimTypeReferenceId="givenName" />
        <OutputClaim ClaimTypeReferenceId="surname" />
        <OutputClaim ClaimTypeReferenceId="email" />
        <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
        <OutputClaim ClaimTypeReferenceId="identityProvider" />
        <OutputClaim ClaimTypeReferenceId="tenantId" AlwaysUseDefaultValue="true" DefaultValue="{Policy:TenantObjectId}" />
      </OutputClaims>
      <SubjectNamingInfo ClaimType="sub" />
    </TechnicalProfile>
  </RelyingParty>

Stap 8: Het aangepaste beleid uploaden

Upload het aangepaste beleid met behulp van de map met uw Azure AD B2C-tenant:

1. Meld u aan bij het Azure-portaal.
2. In de portalwerkbalk selecteer je Directories + abonnementen.
3. In de Portalinstellingen | Pagina Directory's + abonnementen zoekt u in de lijst Directorynaam de Azure AD B2C-directory en selecteert u Schakelen.
4. Selecteer onder Beleidde optie Identity Experience Framework.
5. Selecteer Aangepast beleid uploaden en upload vervolgens de bijgewerkte bestanden in de volgende volgorde:

• Basisbeleid, bijvoorbeeld TrustFrameworkBase.xml
• Lokalisatiebeleid, bijvoorbeeld TrustFrameworkLocalization.xml
• Uitbreidingsbeleid, bijvoorbeeld TrustFrameworkExtensions.xml
• Beleid voor vertrouwende partijen, zoals SignUpOrSignIn.xml

Stap 9: Uw aangepaste beleid testen

Test uw aangepaste beleid met behulp van de map met uw Azure AD B2C-tenant:

1. Selecteer in de Azure AD B2C-tenant en onder Beleid de optie Identity Experience Framework.
2. Selecteer onder Aangepast beleidB2C_1A_signup_signin.
3. Selecteer voor Toepassing de webtoepassing die u hebt geregistreerd. De antwoord-URL is https://jwt.ms.
4. Selecteer Nu uitvoeren.
5. De browser wordt omgeleid naar de aanmeldingspagina van Transmit.
6. Voltooi de aanmeldingsstroom: voer uw account-e-mailadres in en verifieer met behulp van biometrische gegevens (bijvoorbeeld vingerafdruk).
7. De browser wordt omgeleid naar https://jwt.ms met een Azure AD B2C-token.

Volgende stappen

Raadpleeg de volgende artikelen voor meer informatie:

• Overzicht van aangepast azure AD B2C-beleid
• Zelfstudie: Gebruikersstromen en aangepast beleid maken in Azure Active Directory B2C
• Verzendbeveiliging integreren met Azure AD B2C met behulp van gebruikersstromen
• Verzendbeveiliging integreren met Azure AD B2C met behulp van aangepast beleid