Azure Active Directory B2C configureren met Bluink eID-Me voor identiteitsverificatie

Voordat u begint

Azure Active Directory B2C (Azure AD B2C) heeft twee methoden om de interactie van gebruikers met toepassingen te definiëren: vooraf gedefinieerde gebruikersstromen of configureerbaar aangepast beleid. Aangepast beleid heeft betrekking op complexe scenario's. Voor de meeste scenario's raden we gebruikersstromen aan. Zie Overzicht van gebruikersstromen en aangepaste beleidsregels

Azure AD B2C-verificatie integreren met eID-Me

Leer hoe u Azure AD B2C-verificatie integreert met Bluink eID-Me, een oplossing voor identiteitsverificatie en gedecentraliseerde digitale identiteit voor Canadese burgers. Met eID-Me Azure AD B2C-tenants de gebruikersidentiteit verifiëren, geverifieerde registratie- en aanmeldingsidentiteitsclaims verkrijgen. Integratie ondersteunt meervoudige verificatie en aanmelden zonder wachtwoord met een veilige digitale identiteit. Organisaties kunnen voldoen aan de vereisten voor Identity Assurance Level (IAL) 2 en Know Your Customer (KYC).

Ga voor meer informatie naar bluink.ca: Bluink Ltd

Vereisten

Om aan de slag te gaan, hebt u het volgende nodig:

• Een Relying Party-account met eID-Me
  • Ga naar bluink.ca voor meer informatie en vraag een demo aan
• Een Azure-abonnement
  • Als u nog geen account hebt, kunt u een gratis Azure-account krijgen
• Een Azure AD B2C-tenant die is gekoppeld aan het Azure-abonnement
  • Zie Zelfstudie: Een Azure AD B2C-tenant maken
• Een proefversie of productieversie van de eID-Me Digital ID-app
  • Ga naar bluink.ca om de app eID-Me Digital ID te downloaden

Zie ook Zelfstudie: Gebruikersstromen en aangepast beleid maken in Azure AD B2C.

Scenariobeschrijving

eID-Me kan worden geïntegreerd met Azure AD B2C als een OIDC-id-provider (OpenID Connect). De volgende onderdelen vormen de eID-Me-oplossing met Azure AD B2C:

• Azure AD B2C-tenant: geconfigureerd als een relying party in eID-Me stelt eID-Me in staat om een Azure AD B2C-tenant te vertrouwen voor registratie en aanmelding
• Azure AD B2C-tenanttoepassing: de veronderstelling is dat tenants een Azure AD B2C-tenanttoepassing nodig hebben
  • De toepassing ontvangt identiteitsclaims die tijdens de transactie door Azure AD B2C zijn ontvangen
• eID-Me-smartphone-apps - Azure AD B2C-tenantgebruikers hebben de app nodig voor iOS of Android
• Uitgegeven eID-Me digitale identiteiten - van eID-Me-identiteitsbewijzen
  • Gebruikers krijgen een digitale identiteit voor de digitale portemonnee in de app. Geldige identiteitsdocumenten zijn vereist.

De eID-Me-apps verifiëren gebruikers tijdens transacties. De verificatie van de openbare X509-sleutel biedt MFA zonder wachtwoord, met behulp van een persoonlijke ondertekeningssleutel in de digitale identiteit eID-Me.

In het volgende diagram ziet u eID-Me-identiteitsbewijzen, die buiten Azure AD B2C-stromen plaatsvinden.

1. Gebruiker uploadt een selfie naar de eID-Me-smartphonetoepassing.
2. Gebruiker scant en uploadt een door de overheid uitgegeven identificatiedocument, zoals paspoort of rijbewijs, naar de eID-Me-smartphonetoepassing.
3. eID-Me verzendt gegevens naar de identiteitsservice voor verificatie.
4. De gebruiker krijgt een digitale identiteit, die wordt opgeslagen in de toepassing.

In het volgende diagram ziet u Azure AD B2C-integratie met eID-Me.

1. Gebruiker opent de Azure AD B2C-aanmeldingspagina en meldt zich aan of meldt zich aan met een gebruikersnaam.
2. Gebruiker doorgestuurd naar Azure AD B2C-aanmeldings- en registratiebeleid.
3. Azure AD B2C leidt de gebruiker om naar de eID-Me-identiteitsrouter met behulp van de OIDC-autorisatiecodestroom.
4. De router verzendt een pushmelding naar de mobiele gebruikers-app met details van de verificatie- en autorisatieaanvraag.
5. De gebruikersverificatievraag wordt weergegeven en er wordt een prompt voor identiteitsclaims weergegeven.
6. Het antwoord van de vraag gaat naar de router.
7. De router reageert op Azure AD B2C met een verificatieresultaat.
8. Azure AD antwoord van het B2C-id-token gaat naar de toepassing.
9. De gebruiker wordt toegang verleend of geweigerd.

Aan de slag met eID-Me

Ga naar de pagina bluink.ca Contact opnemen om een demo aan te vragen met als doel het configureren van een test- of productieomgeving om Azure AD B2C-tenants in te stellen als relying party. Tenants bepalen identiteitsclaims die nodig zijn van consumenten die zich registreren met eID-Me.

Een toepassing configureren in eID-Me

Als u uw tenanttoepassing wilt configureren als een eID-ME-relying party in eID-Me, geeft u de volgende informatie op:

Eigenschap	Beschrijving
Naam	Azure AD B2C of een andere toepassingsnaam
Domain	name.onmicrosoft.com
Omleidings-URI's	https://jwt.ms
Omleidings-URL's	https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp Bijvoorbeeld: https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp Voer voor een aangepast domein in https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp.
URL van de startpagina van de toepassing	Wordt weergegeven voor de eindgebruiker
URL voor toepassingsprivacybeleid	Wordt weergegeven voor de eindgebruiker

Notitie

Wanneer de relying party is geconfigureerd, geeft ID-Me een client-id en een clientgeheim op. Noteer de client-id en het clientgeheim om de id-provider (IdP) te configureren in Azure AD B2C.

Een nieuwe id-provider toevoegen in Azure AD B2C

Gebruik voor de volgende instructies de map met de Azure AD B2C-tenant.

1. Meld u aan bij de Azure Portal als globale beheerder van de Azure AD B2C-tenant.
2. Selecteer map + abonnement in het bovenste menu.
3. Selecteer de map met de tenant.
4. Selecteer in de linkerbovenhoek van het Azure Portal De optie Alle services.
5. Ga naar Azure AD B2C en selecteer het.
6. Navigeer naar Dashboard>Azure Active Directory B2C>Id-providers.
7. Selecteer Nieuwe OpenID Connect-provider.
8. Selecteer Toevoegen.

Een id-provider configureren

Een id-provider configureren:

1. Selecteer Id-providertype>OpenID Connect.
2. Voer in het formulier van de id-provider bij Naam eID-Me Wachtwoordloos of een andere naam in.
3. Voer bij Client-id de client-id van eID-Me in.
4. Voer bij Clientgeheim het Clientgeheim van eID-Me in.
5. Selecteer bij Bereikde optie openid e-mailprofiel.
6. Selecteer bij Antwoordtypede optie Code.
7. Selecteer formulierbericht voor antwoordmodus.
8. Selecteer OK.
9. Selecteer De claims van deze id-provider toewijzen.
10. Gebruik sub voor Gebruikers-id.
11. Gebruik naamvoor Weergavenaam.
12. Voor Voornaam gebruikt u given_name.
13. Gebruik voor Achternaamfamily_name.
14. Gebruik e-mailvoor Email.
15. Selecteer Opslaan.

Meervoudige verificatie instellen

eID-Me is een meervoudige verificator, daarom is configuratie voor meervoudige verificatie van gebruikersstromen niet nodig.

Een gebruikersstroombeleid maken

Voor de volgende instructies wordt eID-Me weergegeven als een nieuwe OIDC-id-provider in B2C-id-providers.

1. Selecteer in de Azure AD B2C-tenant onder Beleidde optie Gebruikersstromen.
2. Selecteer Nieuwe gebruikersstroom.
3. Selecteer Registreren en aanmelden>Versie>Maken.
4. Voer een beleidsnaam in.
5. Selecteer in Id-providers de gemaakte id-id-provider eID-Me.
6. Bij Lokale accounts selecteert u Geen. Met de selectie wordt e-mail- en wachtwoordverificatie uitgeschakeld.
7. Selecteer Gebruikersstroom uitvoeren.
8. Voer een antwoord-URL in, zoals https://jwt.ms.
9. De browser wordt omgeleid naar de aanmeldingspagina van eID-Me.
10. Voer de accountnaam uit de gebruikersregistratie in.
11. De gebruiker ontvangt een pushmelding op het mobiele apparaat met eID-Me.
12. Er wordt een verificatievraag weergegeven.
13. De uitdaging wordt geaccepteerd en de browser wordt omgeleid naar de antwoord-URL.

Notitie

Azure Active Directory B2C (Azure AD B2C) heeft twee methoden om de interactie van gebruikers met toepassingen te definiëren: vooraf gedefinieerde gebruikersstromen of configureerbaar aangepast beleid. Aangepast beleid heeft betrekking op complexe scenario's. Voor de meeste scenario's raden we gebruikersstromen aan. Zie Overzicht van gebruikersstromen en aangepaste beleidsregels

Een beleidssleutel maken

Sla het clientgeheim op dat u hebt vastgelegd in uw Azure AD B2C-tenant. Gebruik voor de volgende instructies de map met de Azure AD B2C-tenant.

1. Meld u aan bij de Azure-portal.
2. Selecteer in de werkbalk van de portal de mappen en abonnementen.
3. Zoek op de pagina Portalinstellingen, Mappen en abonnementen, in de lijst Directorynaam, uw Azure AD B2C-map.
4. Selecteer Schakelen.
5. Selecteer in de linkerbovenhoek van het Azure Portal De optie Alle services.
6. Ga naar Azure AD B2C en selecteer het.
7. Selecteer Identity Experience Framework op de overzichtspagina.
8. Selecteer Beleidssleutels.
9. Selecteer Toevoegen.
10. Kies Handmatig voor Opties.
11. Voer een naam in voor de beleidssleutel. Bijvoorbeeld eIDMeClientSecret. Het voorvoegsel B2C_1A_ wordt toegevoegd aan de sleutelnaam.
12. Voer bij Geheim het clientgeheim in dat u hebt genoteerd.
13. Selecteer Handtekening voor sleutelgebruik.
14. Selecteer Maken.

eID-Me configureren als een id-provider

Definieer eID-Me als een claimprovider om gebruikers in staat te stellen zich aan te melden met eID-Me. Azure AD B2C communiceert ermee via een eindpunt. Het eindpunt biedt claims die door Azure AD B2C worden gebruikt om gebruikersverificatie te verifiëren met een digitale id op hun apparaat.

Als u eID-Me wilt definiëren als een claimprovider, voegt u deze toe aan het element ClaimsProvider in het extensiebestand van het beleid.

1. Open het TrustFrameworkExtensions.xml.

2. Ga naar het element ClaimsProviders. Als dit niet wordt weergegeven, voegt u deze toe onder het hoofdelement.

3. Voeg een nieuwe ClaimsProvider toe:

      <ClaimsProvider>
      <Domain>eID-Me</Domain>
      <DisplayName>eID-Me</DisplayName>
      <TechnicalProfiles>
        <TechnicalProfile Id="eID-Me-OIDC">
          <!-- The text in the following DisplayName element is shown to the user on the claims provider 
   selection screen. -->
          <DisplayName>eID-Me for Sign In</DisplayName>
          <Protocol Name="OpenIdConnect" />
          <Metadata>
            <Item Key="ProviderName">https://eid-me.bluink.ca</Item>
            <Item Key="METADATA">https://demoeid.bluink.ca/.well-known/openid-configuration</Item>
            <Item Key="response_types">code</Item>
            <Item Key="scope">openid email profile</Item>
            <Item Key="response_mode">form_post</Item>
            <Item Key="HttpBinding">POST</Item>
            <Item Key="token_endpoint_auth_method">client_secret_post</Item>
            <Item Key="client_id">eid_me_rp_client_id</Item>
            <Item Key="UsePolicyInRedirectUri">false</Item>
          </Metadata>
          <CryptographicKeys>
            <Key Id="client_secret" StorageReferenceId="B2C_1A_eIDMeClientSecret" />
          </CryptographicKeys>
          <InputClaims />
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
            <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" />
            <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
            <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
            <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
            <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
            <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
            <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
            <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
            <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
            <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
          </OutputClaims>
          <OutputClaimsTransformations>
            <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
            <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
            <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
            <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
          </OutputClaimsTransformations>
          <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
        </TechnicalProfile>
      </TechnicalProfiles>
    </ClaimsProvider>
   

4. Voer voor eid_me_rp_client_id de eID-Me relying-party client-id in.

5. Selecteer Opslaan.

Ondersteunde identiteitsclaims

U kunt meer identiteitsclaims toevoegen die door eID-Me worden ondersteund.

1. Open het TrustFrameworksExtension.xml.
2. Zoek het BuildingBlocks element.

Notitie

Zoek ondersteunde lijsten met eID-Me-identiteitsclaims op OID-opslagplaats met OIDC-id's op bekende/openid-configuratie.

<BuildingBlocks>
<ClaimsSchema>
 <ClaimType Id="IAL">
     <DisplayName>Identity Assurance Level</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="identity_assurance_level_achieved" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</AdminHelpText>
     <UserHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</UserHelpText>
     <UserInputType>Readonly</UserInputType>
   </ClaimType>

<ClaimType Id="picture">
     <DisplayName>Portrait Photo</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="thumbnail_portrait" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The portrait photo of the user.</AdminHelpText>
     <UserHelpText>Your portrait photo.</UserHelpText>
     <UserInputType>Readonly</UserInputType>
   </ClaimType>

 <ClaimType Id="middle_name">
     <DisplayName>Portrait Photo</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="middle_name" />
     </DefaultPartnerClaimTypes>
     <UserHelpText>Your middle name.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

<ClaimType Id="birthdate">
     <DisplayName>Date of Birth</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="birthdate" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's date of birth.</AdminHelpText>
     <UserHelpText>Your date of birth.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

 <ClaimType Id="gender">
     <DisplayName>Gender</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="gender" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's gender.</AdminHelpText>
     <UserHelpText>Your gender.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>
 
 <ClaimType Id="street_address">
     <DisplayName>Locality/City</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="street_address" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's full street address, which MAY include house number, street name, post office box.</AdminHelpText>
     <UserHelpText>Your street address of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

<ClaimType Id="locality">
     <DisplayName>Locality/City</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="locality" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current city or locality of residence.</AdminHelpText>
     <UserHelpText>Your current city or locality of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="region">
     <DisplayName>Province or Territory</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="region" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current province or territory of residence.</AdminHelpText>
     <UserHelpText>Your current province or territory of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="country">
     <DisplayName>Country</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="country" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current country of residence.</AdminHelpText>
     <UserHelpText>Your current country of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="dl_number">
     <DisplayName>Driver's Licence Number</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="dl_number" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's driver's licence number.</AdminHelpText>
     <UserHelpText>Your driver's licence number.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="dl_class">
     <DisplayName>Driver's Licence Class</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="dl_class" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's driver's licence class.</AdminHelpText>
     <UserHelpText>Your driver's licence class.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>
 </ClaimsSchema>

Een gebruikerstraject toevoegen

Voor de volgende instructies is de id-provider ingesteld, maar niet op aanmeldingspagina's. Als u geen aangepast gebruikerstraject hebt, kopieert u een sjabloongebruikerstraject.

1. Open het bestand vanuit het TrustFrameworkBase.xml starterspakket.
2. Zoek en kopieer de inhoud van het element UserJourneys dat ID=SignUpOrSignIn bevat.
3. Open het TrustFrameworkExtensions.xml.
4. Zoek het element UserJourneys . Als het element niet wordt weergegeven, voegt u er een toe.
5. Plak de inhoud van het element UserJourney als een onderliggend element van het element UserJourneys .
6. Wijzig de naam van de gebruikersbeleving-id, bijvoorbeeld ID=CustomSignUpSignIn.

De id-provider toevoegen aan een gebruikerstraject

Voeg de nieuwe id-provider toe aan het gebruikerstraject.

1. Zoek in het gebruikerstraject het element indelingsstap met Type=CombinedSignInAndSignUp, of Type=ClaimsProviderSelection. Dit is doorgaans de eerste indelingsstap. Het element ClaimsProviderSelections bevat een lijst met id-providers waarmee gebruikers zich aanmelden. De volgorde van de elementen bepaalt de volgorde van de aanmeldingsknoppen die de gebruiker ziet.
2. Voeg een XML-element ClaimsProviderSelection toe.
3. Stel de waarde TargetClaimsExchangeId in op een beschrijvende naam.
4. Voeg in de volgende indelingsstap een element ClaimsExchange toe.
5. Stel de id in op de waarde van de exchange-id van doelclaims.
6. Werk de waarde vTechnicalProfileReferenceId bij naar de technische profiel-id die u hebt gemaakt.

In de volgende XML ziet u zeven indelingsstappen voor het gebruikerstraject met de id-provider:

 <UserJourney Id="eIDME-SignUpOrSignIn">
   <OrchestrationSteps>
     <OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
       <ClaimsProviderSelections>
         <ClaimsProviderSelection TargetClaimsExchangeId="eIDMeExchange" />
        </ClaimsProviderSelections>
   </OrchestrationStep>
     <!-- Check if the user has selected to sign in using one of the social providers -->
     <OrchestrationStep Order="2" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="eIDMeExchange" TechnicalProfileReferenceId="eID-Me-OIDC" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- For social IDP authentication, attempt to find the user account in the directory. -->
     <OrchestrationStep Order="3" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
           <Value>authenticationSource</Value>
           <Value>localAccountAuthentication</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserReadUsingAlternativeSecurityId" TechnicalProfileReferenceId="AAD-UserReadUsingAlternativeSecurityId-NoError" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- Show self-asserted page only if the directory does not have the user account already (i.e. we do not have an objectId).  -->
     <OrchestrationStep Order="4" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="SelfAsserted-Social" TechnicalProfileReferenceId="SelfAsserted-Social" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- This step reads any user attributes that we may not have received when authenticating using ESTS so they can be sent in the token. -->
     <OrchestrationStep Order="5" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
           <Value>authenticationSource</Value>
           <Value>socialIdpAuthentication</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserReadWithObjectId" TechnicalProfileReferenceId="AAD-UserReadUsingObjectId" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- The previous step (SelfAsserted-Social) could have been skipped if there were no attributes to collect 
          from the user. So, in that case, create the user in the directory if one does not already exist 
          (verified using objectId which would be set from the last step if account was created in the directory. -->
     <OrchestrationStep Order="6" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserWrite" TechnicalProfileReferenceId="AAD-UserWriteUsingAlternativeSecurityId" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <OrchestrationStep Order="7" Type="SendClaims" CpimIssuerTechnicalProfileReferenceId="JwtIssuer" />
   </OrchestrationSteps>
   <ClientDefinition ReferenceId="DefaultWeb" />
 </UserJourney>

Het Relying Party-beleid configureren

Het relying party-beleid geeft het gebruikerstraject op Azure AD B2C wordt uitgevoerd. U kunt claims beheren die worden doorgegeven aan uw toepassing. Pas het element OutputClaims van het element eID-Me-OIDC-Signup TechnicalProfile aan. In het volgende voorbeeld ontvangt de toepassing postcode, plaats, regio, IAL, staand, middelste naam en geboortedatum. Deze ontvangt de booleaanse claim signupConditionsSatisfied , die aangeeft of een account is gemaakt.

 <RelyingParty>
     <DefaultUserJourney ReferenceId="eIDMe-SignUpOrSignIn" />
     <TechnicalProfile Id="PolicyProfile">
       <DisplayName>PolicyProfile</DisplayName>
       <Protocol Name="OpenIdConnect" />
       <OutputClaims>
         <OutputClaim ClaimTypeReferenceId="displayName" />
         <OutputClaim ClaimTypeReferenceId="givenName" />
         <OutputClaim ClaimTypeReferenceId="surname" />
         <OutputClaim ClaimTypeReferenceId="email" />
         <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
         <OutputClaim ClaimTypeReferenceId="identityProvider" />
         <OutputClaim ClaimTypeReferenceId="tenantId" AlwaysUseDefaultValue="true" DefaultValue="{Policy:TenantObjectId}" />
         <OutputClaim ClaimTypeReferenceId="postalCode" PartnerClaimType="postal_code" DefaultValue="unknown postal_code" />
         <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
         <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
         <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
         <OutputClaim ClaimTypeReferenceId="picture" PartnerClaimType="thumbnail_portrait" DefaultValue="unknown portrait" />
         <OutputClaim ClaimTypeReferenceId="middle_name" PartnerClaimType="middle_name" DefaultValue="unknown middle name" />
         <OutputClaim ClaimTypeReferenceId="birthdate" PartnerClaimType="birthdate" DefaultValue="unknown DOB" />
         <OutputClaim ClaimTypeReferenceId="newUser" PartnerClaimType="signupConditionsSatisfied" DefaultValue="false" />
       </OutputClaims>
       <SubjectNamingInfo ClaimType="sub" />
     </TechnicalProfile>
   </RelyingParty>

Het aangepaste beleid uploaden

Gebruik voor de volgende instructies de map met de Azure AD B2C-tenant.

1. Meld u aan bij de Azure-portal.
2. Selecteer in de werkbalk van de portal de mappen en abonnementen.
3. Zoek op de pagina Portalinstellingen, Mappen en abonnementen, in de lijst Directorynaam, de Azure AD B2C-map.
4. Selecteer Schakelen.
5. Zoek en selecteer Azure AD B2C in de Azure-portal.
6. Selecteer onder Beleid de optie Identity Experience Framework.
7. Selecteer Aangepast beleid uploaden.
8. Upload de twee beleidsbestanden die u in de volgende volgorde hebt gewijzigd:

• Het uitbreidingsbeleid, bijvoorbeeld TrustFrameworkBase.xml
• Het relying party-beleid, bijvoorbeeld SignUp.xml

Het aangepaste beleid testen

1. Selecteer het relying party-beleid, bijvoorbeeld B2C_1A_signup.
2. Selecteer bij Toepassing een webtoepassing die u hebt geregistreerd.
3. De antwoord-URL is https://jwt.ms.
4. Selecteer Nu uitvoeren.
5. Het registratiebeleid roept eID-Me aan.
6. Selecteer eID-Me voor aanmelding.
7. De browser wordt omgeleid naar https://jwt.ms.
8. De inhoud van het token dat door Azure AD B2C wordt geretourneerd, wordt weergegeven.

Meer informatie: Zelfstudie: Een webtoepassing registreren in Azure AD B2C

Volgende stappen

• Overzicht van aangepaste Azure AD B2C-beleidsregels
• Zelfstudie: Gebruikersstromen en aangepast beleid maken in Azure Active Directory B2C
• Een aangepaste beleidssjabloon en voorbeeld ASP.NET Core web-app voor het integreren van eID-Me met Azure AD B2C
• Ga naar bluink.ca voor de integratiehandleiding voor Azure AD B2C-id-verificatie | eID-Me