Zelfstudie: Gebruikersstromen en aangepast beleid maken in Azure Active Directory B2C

Voordat u begint, gebruikt u de selector Een beleidstype kiezen om het type beleid te kiezen dat u instelt. U kunt in Azure Active Directory B2C op twee manieren definiëren hoe gebruikers met uw toepassingen communiceren: via vooraf gedefinieerde gebruikersstromen of via volledig configureerbaar aangepast beleid. De stappen die in dit artikel zijn vereist, verschillen voor elke methode.

In uw toepassingen kunt u gebruikersstromen hebben waarmee gebruikers zich kunnen registreren, aanmelden of hun profiel kunnen beheren. U kunt meerdere gebruikersstromen van verschillende typen in uw Azure Active Directory B2C-tenant (Azure AD B2C) maken en deze naar behoefte gebruiken in uw toepassingen. Gebruikersstromen kunnen opnieuw worden gebruikt in verschillende toepassingen.

Met een gebruikersstroom kunt u bepalen hoe gebruikers met uw toepassing werken wanneer ze zich aanmelden, registreren, een profiel bewerken of een wachtwoord opnieuw instellen. In dit artikel leert u het volgende:

Aangepaste beleidsregels zijn configuratiebestanden die het gedrag van uw Azure Active Directory B2C-tenant (Azure AD B2C) definiëren. In dit artikel leert u het volgende:

• Een gebruikersstroom voor registratie en aanmelding maken
• Selfservice voor wachtwoordherstel inschakelen
• Een gebruikersstroom voor profielbewerking maken

Belangrijk

We hebben de manier veranderd waarop we verwijzen naar gebruikersstroomversies. Eerder boden we V1-versies (klaar voor productie) en V1.1- en V2-versies (preview) aan. Nu hebben we gebruikersstromen samengevoegd in twee versies: aanbevolen gebruikersstromen met de nieuwste functies en Standaardgebruikersstromen (verouderd). Alle verouderde preview-gebruikersstromen (V1.1 en V2) zijn afgeschaft. Raadpleeg Gebruikersstroomversies in Azure AD B2C voor meer informatie. Deze wijzigingen zijn alleen van toepassing op de openbare Azure-cloud. Andere omgevingen blijven verouderde versiebeheer van gebruikersstromen gebruiken.

Vereisten

• Als u er nog geen hebt, maakt u een Azure AD B2C-tenant die is gekoppeld aan uw Azure-abonnement.
• Registreer een webtoepassing en schakel impliciete toekenning van id-token in.

• Als u er nog geen hebt, maakt u een Azure AD B2C-tenant die is gekoppeld aan uw Azure-abonnement.
• Registreer een webtoepassing en schakel impliciete toekenning van id-token in.

Een gebruikersstroom voor registratie en aanmelding maken

Met de gebruikersstroom voor registratie en aanmelding worden zowel registratie als aanmelding met een enkele configuratie afgehandeld. Gebruikers van uw toepassing worden naar het juiste pad geleid, afhankelijk van de context.

1. Meld u aan bij de Azure-portal.

2. Zorg ervoor dat u de map gebruikt die uw Azure AD B2C-tenant bevat. Selecteer het pictogram Directory's en abonnementen op de portalwerkbalk.

3. Ga op de pagina Portalinstellingen | Directory's en abonnementen naar uw Azure AD B2C-directory in de lijst Mapnaam en selecteer vervolgens Omzetten.

4. Zoek en selecteer Azure AD B2C in de Azure-portal.

5. Selecteer onder Beleid de optie Gebruikersstromen en selecteer vervolgens Nieuwe gebruikersstroom.

   

6. Selecteer op de pagina Een gebruikersstroom maken de gebruikersstroom Registreren en aanmelden.

   

7. Onder Selecteer een versie selecteert u Aanbevolen en vervolgens Maken. (Meer informatie over gebruikersstroomversies.)

   

8. Voer een Naam in voor de gebruikersstroom. Bijvoorbeeld signupsignin1.

9. Selecteer voor Id-providers de optie E-mailregistratie.

10. Kies voor Gebruikerskenmerken en tokenclaims de claims en kenmerken die u wilt verzamelen en verzenden van de gebruiker tijdens de registratie. Selecteer bijvoorbeeld Meer weergeven en kies vervolgens kenmerken en claims voor Land/regio, Weergavenaam en Postcode. Selecteer OK.

    

11. Selecteer Maken om de gebruikersstroom toe te voegen. Een voorvoegsel van B2C_1_ wordt automatisch voorafgegaan door de naam.

De gebruikersstroom testen

1. Selecteer de gebruikersstroom die u hebt gemaakt om de overzichtspagina te openen.

2. Selecteer bovenaan de overzichtspagina van de gebruikersstroom de optie Gebruikersstroom uitvoeren. Aan de rechterkant van de pagina wordt een deelvenster geopend.

3. Selecteer bij Toepassing de webtoepassing die u wilt testen, bijvoorbeeld de webtoepassing met de naam webapp1. De antwoord-URL moet https://jwt.ms weergeven.

4. Selecteer Gebruikersstroom uitvoeren en selecteer vervolgens Nu registreren.

   

5. Voer een geldig e-mailadres in, selecteer Verificatiecode verzenden, voer de verificatiecode in die u ontvangt en selecteer code verifiëren.

6. Voer een nieuw wachtwoord in en bevestig het wachtwoord.

7. Selecteer uw land en regio, voer de naam in die u wilt weergeven, voer een postcode in en selecteer vervolgens Maken. Het token wordt geretourneerd aan https://jwt.ms en moet worden weergegeven.

8. U kunt de gebruikersstroom nu opnieuw uitvoeren en u moet zich kunnen aanmelden met het account dat u hebt gemaakt. Het geretourneerde token bevat de claims die u hebt geselecteerd voor land/regio, naam en postcode.

Notitie

De 'Gebruikersstroom uitvoeren'-ervaring is momenteel niet compatibel met de SPA-antwoord-URL met autorisatiecodestroom. Als u de 'Gebruikersstroom uitvoeren'-ervaring wilt gebruiken met deze typen apps, moet u een antwoord-URL van het type 'Web' registreren en de impliciete stroom inschakelen zoals hier beschreven.

Selfservice voor wachtwoordherstel inschakelen

Selfservice voor wachtwoordherstel inschakelen voor de gebruikersstroom voor registratie of aanmelding:

1. Selecteer de gebruikersstroom voor registratie of aanmelding die u hebt gemaakt.
2. Selecteer onder Instellingen in het linkermenu de optie Eigenschappen.
3. Selecteer onder Wachtwoordconfiguratie de optie Self-service voor wachtwoordherstel.
4. Selecteer Opslaan.

De gebruikersstroom testen

1. Selecteer de gebruikersstroom die u hebt gemaakt om de overzichtspagina te openen en selecteer Gebruikersstroom uitvoeren.
2. Selecteer bij Toepassing de webtoepassing die u wilt testen, bijvoorbeeld de webtoepassing met de naam webapp1. De antwoord-URL moet https://jwt.ms weergeven.
3. Selecteer Gebruikersstroom uitvoeren.
4. Selecteer op de registratie- of aanmeldingspagina de optie Uw wachtwoord vergeten?.
5. Controleer het e-mailadres van het account dat u eerder hebt gemaakt en selecteer vervolgens Doorgaan.
6. U hebt nu de mogelijkheid om het wachtwoord voor de gebruiker te wijzigen. Wijzig het wachtwoord en selecteer Doorgaan. Het token wordt geretourneerd aan https://jwt.ms en moet worden weergegeven.

Een gebruikersstroom voor profielbewerking maken

Als u gebruikers in staat wilt stellen hun profiel te bewerken in uw toepassing, gebruikt u een gebruikersstroom voor het bewerken van profielen.

1. Selecteer in het menu van het paginaoverzicht van de Azure AD B2C-tenant de optie Gebruikersstromen en selecteer vervolgens Nieuwe gebruikersstroom.
2. Selecteer op de pagina Een gebruikersstroom maken de gebruikersstroom Profiel bewerken.
3. Onder Selecteer een versie selecteert u Aanbevolen en vervolgens Maken.
4. Voer een Naam in voor de gebruikersstroom. Bijvoorbeeld profileediting1.
5. Bij Id-providers selecteert u onder Lokale accountsde optie Email registreren.
6. Kies voor Gebruikerskenmerken de kenmerken waarvan u wilt dat de klant deze in zijn profiel kan bewerken. Selecteer bijvoorbeeld Meer weergeven en kies vervolgens kenmerken en claims voor Weergavenaam en Functie. Selecteer OK.
7. Selecteer Maken om de gebruikersstroom toe te voegen. Een voorvoegsel van B2C_1_ wordt automatisch toegevoegd aan de naam.

De gebruikersstroom testen

1. Selecteer de gebruikersstroom die u hebt gemaakt om de overzichtspagina te openen.
2. Selecteer bovenaan de overzichtspagina van de gebruikersstroom de optie Gebruikersstroom uitvoeren. Aan de rechterkant van de pagina wordt een deelvenster geopend.
3. Selecteer bij Toepassing de webtoepassing die u wilt testen, bijvoorbeeld de webtoepassing met de naam webapp1. De antwoord-URL moet https://jwt.ms weergeven.
4. Selecteer Gebruikersstroom uitvoeren en meld u aan met het account dat u eerder hebt gemaakt.
5. U hebt nu de mogelijkheid om de weergavenaam en de functie voor de gebruiker te wijzigen. Selecteer Doorgaan. Het token wordt geretourneerd aan https://jwt.ms en moet worden weergegeven.

Tip

In dit artikel wordt uitgelegd hoe u uw tenant handmatig instelt. In dit artikel kunt u het hele proces automatiseren. Bij het automatiseren wordt het Azure AD B2C SocialAndLocalAccountsWithMFA-starterspakket geïmplementeerd, dat registratie- en aanmeldingstrajecten, wachtwoordherstel en profielbewerkingen biedt. Als u de onderstaande procedure wilt automatiseren, gaat u naar de IEF-installatie-app en volgt u de instructies.

Ondertekenings- en versleutelingssleutels toevoegen voor Identity Experience Framework-toepassingen

1. Meld u aan bij de Azure-portal.
2. Zorg ervoor dat u de map gebruikt die uw Azure AD B2C-tenant bevat. Selecteer het pictogram Directory's en abonnementen op de portalwerkbalk.
3. Ga op de pagina Portalinstellingen | Directory's en abonnementen naar uw Azure AD B2C-directory in de lijst Mapnaam en selecteer vervolgens Omzetten.
4. Zoek en selecteer Azure AD B2C in de Azure-portal.
5. Selecteer op de overzichtspagina onder Beleidde optie Identity Experience Framework.

De ondertekeningssleutel maken

1. Selecteer Beleidssleutels en vervolgens Toevoegen.
2. Voor Opties kiest u Generate.
3. Voer bij NaamTokenSigningKeyContainer in. Het voorvoegsel B2C_1A_ wordt mogelijk automatisch toegevoegd.
4. Selecteer RSA bij Sleuteltype.
5. Selecteer Handtekening voor sleutelgebruik.
6. Selecteer Maken.

De versleutelingssleutel maken

1. Selecteer Beleidssleutels en vervolgens Toevoegen.
2. Voor Opties kiest u Generate.
3. Voer bij NaamTokenEncryptionKeyContainer in. Het voorvoegsel B2C_1A_ wordt mogelijk automatisch toegevoegd.
4. Selecteer RSA bij Sleuteltype.
5. Selecteer versleuteling voor Sleutelgebruik.
6. Selecteer Maken.

Identity Experience Framework-toepassingen registreren

Azure AD B2C vereist dat u twee toepassingen registreert die worden gebruikt om gebruikers met lokale accounts te registreren en aan te melden: IdentityExperienceFramework, een web-API en ProxyIdentityExperienceFramework, een systeemeigen app met gedelegeerde machtigingen voor de IdentityExperienceFramework-app. Uw gebruikers kunnen zich registreren met een e-mailadres of gebruikersnaam en een wachtwoord voor toegang tot uw tenant-geregistreerde toepassingen, waarmee een 'lokaal account' wordt gemaakt. Lokale accounts bestaan alleen in uw Azure AD B2C-tenant.

U hoeft deze twee toepassingen slechts één keer te registreren in uw Azure AD B2C-tenant.

De IdentityExperienceFramework-toepassing registreren

Als u een toepassing wilt registreren in uw Azure AD B2C-tenant, kunt u de App-registraties-ervaring gebruiken.

1. Selecteer App-registraties en selecteer vervolgens Nieuwe registratie.
2. Voer IdentityExperienceFramework in bij Naam.
3. Onder Ondersteunde accounttypen selecteert u Enkel accounts in deze organisatieadreslijst.
4. Selecteer onder Omleidings-URIde optie Web en voer vervolgens inhttps://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com, waarbij your-tenant-name uw Azure AD B2C-tenantdomeinnaam is.
5. Selecteer in Machtigingen het selectievakje Beheerdersgoedkeuring verlenen aan machtigingen van OpenID en offline_access.
6. Selecteer Registreren.
7. Noteer de Toepassings-id (client) voor gebruik in een latere stap.

Maak vervolgens de API beschikbaar door een bereik toe te voegen:

1. Selecteer in het linkermenu onder Beheren de optie Een API beschikbaar maken.
2. Selecteer Een bereik toevoegen en selecteer vervolgens Opslaan en ga door om de standaardtoepassings-id-URI te accepteren.
3. Voer de volgende waarden in om een bereik te maken waarmee aangepast beleid kan worden uitgevoerd in uw Azure AD B2C-tenant:
   • Naam van bereik: user_impersonation
   • Weergavenaam van beheerderstoestemming: Access IdentityExperienceFramework
   • Beschrijving van beheerderstoestemming: Allow the application to access IdentityExperienceFramework on behalf of the signed-in user.
4. Selecteer Bereik toevoegen

---

De ProxyIdentityExperienceFramework-toepassing registreren

1. Selecteer App-registraties en selecteer vervolgens Nieuwe registratie.
2. Voer ProxyIdentityExperienceFramework in bij Naam.
3. Onder Ondersteunde accounttypen selecteert u Enkel accounts in deze organisatieadreslijst.
4. Gebruik onder Omleidings-URI de vervolgkeuzelijst om Openbare client/systeemeigen (mobiel & bureaublad) te selecteren.
5. Voer voor omleidings-URI in myapp://auth.
6. Selecteer in Machtigingen het selectievakje Beheerdersgoedkeuring verlenen aan machtigingen van OpenID en offline_access.
7. Selecteer Registreren.
8. Noteer de Toepassings-id (client) voor gebruik in een latere stap.

Geef vervolgens op dat de toepassing moet worden behandeld als een openbare client:

1. Selecteer hiervoor Verificatie in het linkermenu onder Beheren.
2. Stel onder Geavanceerde instellingen in de sectie Openbare clientstromen toestaande volgende mobiele en bureaubladstromen inschakelen in op Ja.
3. Selecteer Opslaan.
4. Zorg ervoor dat allowPublicClient: true is ingesteld in het toepassingsmanifest:
   1. Selecteer in het linkermenu onder Beheren de optie Manifest om het toepassingsmanifest te openen.
   2. Zoek allowPublicClient-sleutel en zorg ervoor dat de waarde is ingesteld op true.

Verken nu machtigingen aan het API-bereik dat u eerder hebt weergegeven in de IdentityExperienceFramework-registratie :

1. Selecteer in het linkermenu onder Beheren de optie API-machtigingen.
2. Selecteer onder Geconfigureerde machtigingen de optie Een machtiging toevoegen.
3. Selecteer het tabblad Mijn API's en selecteer vervolgens de toepassing IdentityExperienceFramework .
4. Selecteer onder Machtiging het user_impersonation bereik dat u eerder hebt gedefinieerd.
5. Selecteer Machtigingen toevoegen. Wacht, zoals aangegeven, een paar minuten voordat u verdergaat met de volgende stap.
6. Selecteer Beheerderstoestemming verlenen voor <uw tenantnaam)> .
7. Selecteer Ja.
8. Selecteer Vernieuwen en controleer vervolgens of 'Verleend voor ...' wordt weergegeven onder Status voor het bereik.

---

Starterspakket voor aangepaste beleidsregels

Aangepaste beleidsregels zijn een set XML-bestanden die u uploadt naar uw Azure AD B2C-tenant om technische profielen en gebruikersbelevingen te definiëren. We bieden starterspakketten met verschillende vooraf gemaakte beleidsregels waarmee u snel aan de slag kunt. Elk van deze starterspakketten bevat het kleinste aantal technische profielen en gebruikerstrajecten dat nodig is om de beschreven scenario's te bereiken:

• LocalAccounts: Maakt alleen het gebruik van lokale accounts mogelijk.
• SocialAccounts: Maakt alleen het gebruik van sociale (of federatieve) accounts mogelijk.
• SocialAndLocalAccounts: Maakt het gebruik van zowel lokale als sociale accounts mogelijk.
• SocialAndLocalAccountsWithMFA: Maakt opties voor sociale, lokale en meervoudige verificatie mogelijk.

Elk starterspakket bevat:

• Basisbestand : er zijn enkele wijzigingen in de basis vereist. Voorbeeld: TrustFrameworkBase.xml
• Lokalisatiebestand : in dit bestand worden lokalisatiewijzigingen aangebracht. Voorbeeld: TrustFrameworkLocalization.xml
• Extensiebestand : in dit bestand worden de meeste configuratiewijzigingen aangebracht. Voorbeeld: TrustFrameworkExtensions.xml
• Relying party-bestanden : taakspecifieke bestanden die door uw toepassing worden aangeroepen. Voorbeelden: SignUpOrSignin.xml, ProfileEdit.xml, PasswordReset.xml

In dit artikel bewerkt u de aangepaste XML-beleidsbestanden in het starterspakket SocialAndLocalAccounts . Als u een XML-editor nodig hebt, kunt u Visual Studio Code proberen, een lichtgewicht platformoverschrijdende editor.

Het starterspakket downloaden

Haal de starterspakketten voor aangepast beleid op uit GitHub en werk vervolgens de XML-bestanden in het starterspakket SocialAndLocalAccounts bij met de naam van uw Azure AD B2C-tenant.

1. Download het .zip-bestand of kloon de opslagplaats:

   git clone https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack
   

2. Vervang in alle bestanden in de map SocialAndLocalAccounts de tekenreeks yourtenant door de naam van uw Azure AD B2C-tenant.

   Als de naam van uw B2C-tenant bijvoorbeeld contosotenant is, worden contosotenant.onmicrosoft.comalle exemplaren van yourtenant.onmicrosoft.com .

Toepassings-id's toevoegen aan het aangepaste beleid

Voeg de toepassings-id's toe aan het extensiebestand TrustFrameworkExtensions.xml.

1. Open SocialAndLocalAccounts/TrustFrameworkExtensions.xml en zoek het element <TechnicalProfile Id="login-NonInteractive">.
2. Vervang beide instanties van IdentityExperienceFrameworkAppId door de toepassings-id van de IdentityExperienceFramework-toepassing die u eerder hebt gemaakt.
3. Vervang beide instanties van ProxyIdentityExperienceFrameworkAppId door de toepassings-id van de ProxyIdentityExperienceFramework-toepassing die u eerder hebt gemaakt.
4. Sla het bestand op.

Facebook toevoegen als id-provider

Het starterspakket SocialAndLocalAccounts bevat sociale aanmelding via Facebook. Facebook is niet vereist voor het gebruik van aangepast beleid, maar we gebruiken het hier om te laten zien hoe u federatieve sociale aanmelding kunt inschakelen in een aangepast beleid. Als u federatieve sociale aanmelding niet hoeft in te schakelen, gebruikt u in plaats daarvan het starterspakket LocalAccounts en slaat u de sectie Facebook toevoegen als id-provider over .

Facebook-toepassing maken

Gebruik de stappen die worden beschreven in Een Facebook-toepassing maken om facebook-app-id en app-geheim te verkrijgen. Sla de vereisten en de rest van de stappen in het artikel Registreren en aanmelden met een Facebook-account instellen over.

De Facebook-sleutel maken

Voeg het App-geheim van uw Facebook-toepassing toe als een beleidssleutel. U kunt het app-geheim gebruiken van de toepassing die u hebt gemaakt als onderdeel van de vereisten van dit artikel.

1. Meld u aan bij de Azure-portal.
2. Zorg ervoor dat u de map gebruikt die uw Azure AD B2C-tenant bevat. Selecteer het pictogram Directory's en abonnementen op de portalwerkbalk.
3. Ga op de pagina Portalinstellingen | Directory's en abonnementen naar uw Azure AD B2C-directory in de lijst Mapnaam en selecteer vervolgens Omzetten.
4. Zoek en selecteer Azure AD B2C in de Azure-portal.
5. Selecteer op de overzichtspagina onder Beleidde optie Identity Experience Framework.
6. Selecteer Beleidssleutels en vervolgens Toevoegen.
7. Voor Opties kiest u Manual.
8. Voer FacebookSecret in bij Naam. Het voorvoegsel B2C_1A_ wordt mogelijk automatisch toegevoegd.
9. Voer bij Geheim het App-geheim van uw Facebook-toepassing in van developers.facebook.com. Deze waarde is het geheim, niet de toepassings-id.
10. Selecteer Handtekening voor sleutelgebruik.
11. Selecteer Maken.

TrustFrameworkExtensions.xml bijwerken in het starterspakket voor aangepast beleid

Vervang in het SocialAndLocalAccounts/TrustFrameworkExtensions.xml bestand de waarde van client_id door de Facebook-toepassings-id en sla de wijzigingen op.

<TechnicalProfile Id="Facebook-OAUTH">
  <Metadata>
  <!--Replace the value of client_id in this technical profile with the Facebook app ID"-->
    <Item Key="client_id">00000000000000</Item>

Het beleid uploaden

1. Selecteer het menu-item Identity Experience Framework in uw B2C-tenant in de Azure Portal.
2. Selecteer Aangepast beleid uploaden.
3. Upload in deze volgorde de beleidsbestanden:
   1. TrustFrameworkBase.xml
   2. TrustFrameworkLocalization.xml
   3. TrustFrameworkExtensions.xml
   4. SignUpOrSignin.xml
   5. ProfileEdit.xml
   6. PasswordReset.xml

Terwijl u de bestanden uploadt, voegt Azure het voorvoegsel B2C_1A_ toe aan elk van deze bestanden.

Tip

Als uw XML-editor validatie ondersteunt, valideert u de bestanden op basis van het TrustFrameworkPolicy_0.3.0.0.xsd XML-schema dat zich in de hoofdmap van het starterspakket bevindt. Xml-schemavalidatie identificeert fouten voordat het uploaden.

Het aangepaste beleid testen

1. Selecteer onder Aangepast beleidde optie B2C_1A_signup_signin.
2. Selecteer bij Toepassing selecteren op de overzichtspagina van het aangepaste beleid de webtoepassing die u wilt testen, bijvoorbeeld de webtoepassing met de naam webapp1.
3. Zorg ervoor dat de antwoord-URL is https://jwt.ms.
4. Selecteer Nu uitvoeren.
5. Meld u aan met een e-mailadres.
6. Selecteer nogmaals Nu uitvoeren .
7. Meld u aan met hetzelfde account om te bevestigen dat u de juiste configuratie hebt.
8. Selecteer opnieuw Nu uitvoeren en selecteer Facebook om u aan te melden met Facebook en het aangepaste beleid te testen.

Volgende stappen

In dit artikel hebt u het volgende geleerd:

• Een gebruikersstroom voor registratie en aanmelding maken
• Een gebruikersstroom voor profielbewerking maken
• Een gebruikersstroom voor het opnieuw instellen van het wachtwoord maken

Vervolgens leert u hoe u Azure AD B2C gebruikt om gebruikers in een toepassing aan te melden en te registreren. Volg de voorbeeld-apps die hieronder zijn gekoppeld:

• Een voorbeeld van een ASP.NET Core web-app configureren
• Een voorbeeld van een ASP.NET Core web-app configureren die een web-API aanroept
• Verificatie configureren in een voorbeeld van een Python-webtoepassing
• Een voorbeeldtoepassing met één pagina (SPA) configureren
• Een voorbeeld van een Angular app met één pagina configureren
• Een voorbeeld van een mobiele Android-app configureren
• Een voorbeeld van een mobiele iOS-app configureren
• Verificatie configureren in een voorbeeld van een WPF-bureaubladtoepassing
• Verificatie inschakelen in uw web-API
• Een SAML-toepassing configureren

U kunt ook meer informatie vinden in de Azure AD B2C Architecture Deep Dive Series.