Zelfstudie: Gebruikersstromen en aangepast beleid maken in Azure Active Directory B2C

Voordat u begint, gebruikt u de selector Een beleidstype kiezen om het type beleid te kiezen dat u instelt. Azure Active Directory B2C biedt twee methoden om te definiëren hoe gebruikers met uw toepassingen communiceren: via vooraf gedefinieerde gebruikersstromen of via volledig configureerbare aangepaste beleidsregels. De stappen die in dit artikel zijn vereist, verschillen voor elke methode.

In uw toepassingen kunt u gebruikersstromen hebben waarmee gebruikers zich kunnen registreren, aanmelden of hun profiel kunnen beheren. U kunt meerdere gebruikersstromen van verschillende typen in uw Azure Active Directory B2C-tenant (Azure AD B2C) maken en deze naar behoefte gebruiken in uw toepassingen. Gebruikersstromen kunnen opnieuw worden gebruikt in verschillende toepassingen.

Met een gebruikersstroom kunt u bepalen hoe gebruikers met uw toepassing werken wanneer ze dingen doen zoals aanmelden, registreren, een profiel bewerken of een wachtwoord opnieuw instellen. In dit artikel leert u het volgende:

Aangepaste beleidsregels zijn configuratiebestanden die het gedrag van uw Azure Active Directory B2C-tenant (Azure AD B2C) definiëren. In dit artikel leert u het volgende:

  • Een gebruikersstroom voor registratie en aanmelding maken
  • Selfservice voor wachtwoordherstel inschakelen
  • Een gebruikersstroom voor profielbewerking maken

Belangrijk

We hebben de manier veranderd waarop we verwijzen naar gebruikersstroomversies. Eerder boden we V1-versies (klaar voor productie) en V1.1- en V2-versies (preview) aan. Nu hebben we gebruikersstromen samengevoegd in twee versies: Aanbevolen gebruikersstromen met de nieuwste functies en Standaardgebruikersstromen (verouderd). Alle verouderde preview-gebruikersstromen (V1.1 en V2) zijn afgeschaft. Raadpleeg Gebruikersstroomversies in Azure AD B2C voor meer informatie. Deze wijzigingen zijn alleen van toepassing op de openbare Azure-cloud. Andere omgevingen blijven verouderde versiebeheer van gebruikersstromen gebruiken.

Vereisten

Een gebruikersstroom voor registratie en aanmelding maken

Met de gebruikersstroom voor registratie en aanmelding worden zowel registratie als aanmelding met een enkele configuratie afgehandeld. Gebruikers van uw toepassing worden naar het juiste pad geleid, afhankelijk van de context.

  1. Meld u aan bij de Azure-portal.

  2. Zorg ervoor dat u de map gebruikt die uw Azure AD B2C-tenant bevat. Selecteer het pictogram Mappen en abonnementen op de portalwerkbalk.

  3. In de portalinstellingen | De pagina Mappen en abonnementen, zoek uw Azure AD B2C-map in de mappenlijst en selecteer vervolgens Switch.

  4. Zoek en selecteer Azure AD B2C in de Azure-portal.

  5. Selecteer onder Beleid de optie Gebruikersstromen en selecteer vervolgens Nieuwe gebruikersstroom.

    De pagina Gebruikersstromen in de portal met de knop Nieuwe gebruikersstroom gemarkeerd

  6. Selecteer op de pagina Een gebruikersstroom maken de gebruikersstroom Registreren en aanmelden.

    Selecteer een gebruikersstroompagina met de aanmeldings- en aanmeldingsstroom gemarkeerd

  7. Onder Selecteer een versie selecteert u Aanbevolen en vervolgens Maken. (Meer informatie over gebruikersstroomversies.)

    De pagina Gebruikersstroom maken in de Azure-portal met eigenschappen gemarkeerd

  8. Voer een Naam in voor de gebruikersstroom. Bijvoorbeeld signupsignin1.

  9. Selecteer voor Id-providers de optie E-mailregistratie.

  10. Kies voor Gebruikerskenmerken en claims de claims en kenmerken van de gebruiker die u tijdens de registratie wilt verzamelen en verzenden. Selecteer bijvoorbeeld Meer weergeven en kies vervolgens kenmerken en claims voor Land/regio, Weergavenaam en Postcode. Selecteer OK.

    Selectiepagina voor gebruikerskenmerken en claims met drie claims geselecteerd

  11. Selecteer Maken om de gebruikersstroom toe te voegen. Een voorvoegsel van B2C_1_ wordt automatisch aan de naam voorafgegaan.

De gebruikersstroom testen

  1. Selecteer de gebruikersstroom die u hebt gemaakt om de overzichtspagina te openen.

  2. Selecteer Bovenaan de overzichtspagina van de gebruikersstroom de optie Gebruikersstroom uitvoeren. Er wordt een deelvenster geopend aan de rechterkant van de pagina.

  3. Selecteer voor Toepassing de webtoepassing met de naam webapp1 die u eerder hebt geregistreerd. De antwoord-URL moet https://jwt.ms weergeven.

  4. Selecteer Gebruikersstroom uitvoeren en selecteer Nu registreren.

    De pagina Gebruikersstroom uitvoeren in de portal met de knop Gebruikersstroom uitvoeren gemarkeerd

  5. Voer een geldig e-mailadres in, selecteer Verificatiecode verzenden, voer de verificatiecode in die u ontvangt en selecteer Code verifiëren.

  6. Voer een nieuw wachtwoord in en bevestig het wachtwoord.

  7. Selecteer uw land en regio, voer de naam in die u wilt weergeven, voer een postcode in en selecteer Vervolgens Maken. Het token wordt geretourneerd aan https://jwt.ms en moet worden weergegeven.

  8. U kunt de gebruikersstroom nu opnieuw uitvoeren en u moet zich kunnen aanmelden met het account dat u hebt gemaakt. Het geretourneerde token bevat de claims die u hebt geselecteerd voor land/regio, naam en postcode.

Notitie

De 'Gebruikersstroom uitvoeren'-ervaring is momenteel niet compatibel met de SPA-antwoord-URL met autorisatiecodestroom. Als u de 'Gebruikersstroom uitvoeren'-ervaring wilt gebruiken met deze typen apps, moet u een antwoord-URL van het type 'Web' registreren en de impliciete stroom inschakelen zoals hier beschreven.

Selfservice voor wachtwoordherstel inschakelen

Selfservice voor wachtwoordherstel inschakelen voor de gebruikersstroom voor registratie of aanmelding:

  1. Selecteer de gebruikersstroom voor registratie of aanmelding die u hebt gemaakt.
  2. Selecteer Eigenschappen onder Instellingen in het linkermenu.
  3. Selecteer onder Wachtwoordconfiguratiede optie Selfservice voor wachtwoordherstel.
  4. Selecteer Opslaan.

De gebruikersstroom testen

  1. Selecteer de gebruikersstroom die u hebt gemaakt om de overzichtspagina te openen en selecteer Gebruikersstroom uitvoeren.
  2. Selecteer voor Toepassing de webtoepassing met de naam webapp1 die u eerder hebt geregistreerd. De antwoord-URL moet https://jwt.ms weergeven.
  3. Selecteer Gebruikersstroom uitvoeren.
  4. Selecteer op de registratie- of aanmeldingspagina uw wachtwoord vergeten?.
  5. Controleer het e-mailadres van het account dat u eerder hebt gemaakt en selecteer Vervolgens Doorgaan.
  6. U hebt nu de mogelijkheid om het wachtwoord voor de gebruiker te wijzigen. Wijzig het wachtwoord en selecteer Doorgaan. Het token wordt geretourneerd aan https://jwt.ms en moet worden weergegeven.

Een gebruikersstroom voor profielbewerking maken

Als u gebruikers in staat wilt stellen hun profiel te bewerken in uw toepassing, gebruikt u een gebruikersstroom voor het bewerken van profielen.

  1. Selecteer in het menu van het paginaoverzicht van de Azure AD B2C-tenant de optie Gebruikersstromen en selecteer vervolgens Nieuwe gebruikersstroom.
  2. Selecteer op de pagina Een gebruikersstroom maken de gebruikersstroom Profiel bewerken.
  3. Onder Selecteer een versie selecteert u Aanbevolen en vervolgens Maken.
  4. Voer een Naam in voor de gebruikersstroom. Bijvoorbeeld profileediting1.
  5. Voor id-providers selecteert u onder Lokale accountsEmail registratie.
  6. Kies voor Gebruikerskenmerken de kenmerken waarvan u wilt dat de klant deze in zijn profiel kan bewerken. Selecteer bijvoorbeeld Meer weergeven en kies vervolgens kenmerken en claims voor Weergavenaam en Functie. Selecteer OK.
  7. Selecteer Maken om de gebruikersstroom toe te voegen. Er wordt automatisch een voorvoegsel van B2C_1_ aan de naam toegevoegd.

De gebruikersstroom testen

  1. Selecteer de gebruikersstroom die u hebt gemaakt om de overzichtspagina te openen.
  2. Selecteer Bovenaan de overzichtspagina van de gebruikersstroom de optie Gebruikersstroom uitvoeren. Er wordt een deelvenster geopend aan de rechterkant van de pagina.
  3. Selecteer voor Toepassing de webtoepassing met de naam webapp1 die u eerder hebt geregistreerd. De antwoord-URL moet https://jwt.ms weergeven.
  4. Selecteer Gebruikersstroom uitvoeren en meld u vervolgens aan met het account dat u eerder hebt gemaakt.
  5. U hebt nu de mogelijkheid om de weergavenaam en de functie voor de gebruiker te wijzigen. Selecteer Doorgaan. Het token wordt geretourneerd aan https://jwt.ms en moet worden weergegeven.

Tip

In dit artikel wordt uitgelegd hoe u uw tenant handmatig instelt. U kunt het hele proces vanuit dit artikel automatiseren. Automatiseren implementeert het Azure AD B2C SocialAndLocalAccountsWithMFA-starterspakket, dat registratie- en aanmeldings-, wachtwoordherstel- en profielbewerkingstrajecten biedt. Als u het onderstaande scenario wilt automatiseren, gaat u naar de IEF-installatie-app en volgt u de instructies.

Ondertekenings- en versleutelingssleutels toevoegen voor Identity Experience Framework-toepassingen

  1. Meld u aan bij de Azure-portal.
  2. Zorg ervoor dat u de map gebruikt die uw Azure AD B2C-tenant bevat. Selecteer het pictogram Mappen en abonnementen op de portalwerkbalk.
  3. In de portalinstellingen | De pagina Mappen en abonnementen, zoek uw Azure AD B2C-map in de mappenlijst en selecteer vervolgens Switch.
  4. Zoek en selecteer Azure AD B2C in de Azure-portal.
  5. Selecteer Identity Experience Framework op de overzichtspagina onder Beleid.

De ondertekeningssleutel maken

  1. Selecteer Beleidssleutels en selecteer Vervolgens Toevoegen.
  2. Kies voor Opties de optie Generate.
  3. Voer bij NaamTokenSigningKeyContainer in. Het voorvoegsel B2C_1A_ wordt mogelijk automatisch toegevoegd.
  4. Selecteer RSA voor sleuteltype.
  5. Selecteer Handtekening voor sleutelgebruik.
  6. Selecteer Maken.

De versleutelingssleutel maken

  1. Selecteer Beleidssleutels en selecteer Vervolgens Toevoegen.
  2. Kies voor Opties de optie Generate.
  3. Voer bij NaamTokenEncryptionKeyContainer in. Het voorvoegsel B2C_1A_ kan automatisch worden toegevoegd.
  4. Selecteer RSA voor sleuteltype.
  5. Selecteer Versleuteling voor sleutelgebruik.
  6. Selecteer Maken.

Identity Experience Framework-toepassingen registreren

Azure AD B2C moet u twee toepassingen registreren die worden gebruikt voor het registreren en aanmelden van gebruikers met lokale accounts: IdentityExperienceFramework, een web-API en ProxyIdentityExperienceFramework, een systeemeigen app met gedelegeerde machtigingen voor de IdentityExperienceFramework-app. Uw gebruikers kunnen zich registreren met een e-mailadres of gebruikersnaam en een wachtwoord voor toegang tot uw tenant-geregistreerde toepassingen, waarmee een 'lokaal account' wordt gemaakt. Lokale accounts bestaan alleen in uw Azure AD B2C-tenant.

U moet deze twee toepassingen slechts eenmaal registreren in uw Azure AD B2C-tenant.

De IdentityExperienceFramework-toepassing registreren

Als u een toepassing wilt registreren in uw Azure AD B2C-tenant, kunt u de App-registraties-ervaring gebruiken.

  1. Selecteer App-registraties en selecteer vervolgens Nieuwe registratie.
  2. Voer IdentityExperienceFramework in bij Naam.
  3. Selecteer onder Ondersteunde accounttypenalleen Accounts in deze organisatiemap.
  4. Selecteer onder Omleidings-URIweb en voer https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.comvervolgens uw your-tenant-name Azure AD B2C-tenantdomeinnaam in.
  5. Selecteer in Machtigingen het selectievakje Beheerdersgoedkeuring verlenen aan machtigingen van OpenID en offline_access.
  6. Selecteer Registreren.
  7. Noteer de Toepassings-id (client) voor gebruik in een latere stap.

Maak vervolgens de API beschikbaar door een bereik toe te voegen:

  1. Selecteer een API beschikbaar maken in het linkermenu onder Beheren.
  2. Selecteer Een bereik toevoegenen selecteer Opslaan en ga door met het accepteren van de standaard-URI voor de toepassings-id.
  3. Voer de volgende waarden in om een bereik te maken waarmee aangepaste beleidsuitvoering in uw Azure AD B2C-tenant mogelijk is:
    • Naam van bereik: user_impersonation
    • Weergavenaam van beheerderstoestemming: Access IdentityExperienceFramework
    • Beschrijving van beheerderstoestemming: Allow the application to access IdentityExperienceFramework on behalf of the signed-in user.
  4. Selecteer Bereik toevoegen

De ProxyIdentityExperienceFramework-toepassing registreren

  1. Selecteer App-registraties en selecteer vervolgens Nieuwe registratie.
  2. Voer ProxyIdentityExperienceFramework in bij Naam.
  3. Selecteer onder Ondersteunde accounttypenalleen Accounts in deze organisatiemap.
  4. Gebruik onder Omleidings-URI de vervolgkeuzelijst om openbare client/systeemeigen (mobiel & bureaublad) te selecteren.
  5. Voer voor omleidings-URI de naam myapp://authin.
  6. Selecteer in Machtigingen het selectievakje Beheerdersgoedkeuring verlenen aan machtigingen van OpenID en offline_access.
  7. Selecteer Registreren.
  8. Noteer de Toepassings-id (client) voor gebruik in een latere stap.

Geef vervolgens op dat de toepassing moet worden behandeld als een openbare client:

  1. Selecteer hiervoor Verificatie in het linkermenu onder Beheren.
  2. Stel onder Geavanceerde instellingen in de sectie Openbare clientstromen toestaande volgende mobiele en bureaubladstromen in op Ja.
  3. Selecteer Opslaan.
  4. Zorg ervoor dat allowPublicClient: true is ingesteld in het toepassingsmanifest:
    1. Selecteer in het linkermenu onder Beherenhet manifest om het toepassingsmanifest te openen.
    2. Zoek allowPublicClient-sleutel en zorg ervoor dat de waarde is ingesteld op true.

Verdeel nu machtigingen aan het API-bereik dat u eerder in de IdentityExperienceFramework-registratie hebt weergegeven:

  1. Selecteer API-machtigingen in het linkermenu onder Beheren.
  2. Selecteer onder Geconfigureerde machtigingen de optie Een machtiging toevoegen.
  3. Selecteer het tabblad Mijn API's en selecteer vervolgens de IdentityExperienceFramework-toepassing .
  4. Selecteer onder Machtiging het user_impersonation bereik dat u eerder hebt gedefinieerd.
  5. Selecteer Machtigingen toevoegen. Wacht, zoals aangegeven, een paar minuten voordat u verdergaat met de volgende stap.
  6. Selecteer Beheerderstoestemming verlenen voor <uw tenantnaam)>.
  7. Selecteer Ja.
  8. Selecteer Vernieuwen en controleer vervolgens of 'Verleend voor ...' wordt weergegeven onder Status voor het bereik.

Aangepast starterspakket voor beleid

Aangepaste beleidsregels zijn een set XML-bestanden die u uploadt naar uw Azure AD B2C-tenant om technische profielen en gebruikerstrajecten te definiëren. We bieden starterspakketten met verschillende vooraf gemaakte beleidsregels om u snel op weg te helpen. Elk van deze starterspakketten bevat het kleinste aantal technische profielen en gebruikerstrajecten dat nodig is om de beschreven scenario's te bereiken:

  • LocalAccounts : hiermee schakelt u alleen het gebruik van lokale accounts in.
  • SocialAccounts : hiermee wordt het gebruik van sociale (of federatieve) accounts alleen ingeschakeld.
  • SocialAndLocalAccounts - Maakt het gebruik van zowel lokale als sociale accounts mogelijk.
  • SocialAndLocalAccountsWithMFA : hiermee kunt u opties voor sociale, lokale en meervoudige verificatie inschakelen.

Elk starterspakket bevat:

  • Basisbestand : er zijn enkele wijzigingen vereist voor de basis. Voorbeeld: TrustFrameworkBase.xml
  • Lokalisatiebestand : in dit bestand worden lokalisatiewijzigingen aangebracht. Voorbeeld: TrustFrameworkLocalization.xml
  • Extensiebestand - Dit bestand is waar de meeste configuratiewijzigingen worden aangebracht. Voorbeeld: TrustFrameworkExtensions.xml
  • Relying Party-bestanden - Taakspecifieke bestanden die door uw toepassing worden aangeroepen. Voorbeelden: SignUpOrSignin.xml, ProfileEdit.xml, PasswordReset.xml

In dit artikel bewerkt u de aangepaste XML-beleidsbestanden in het starterspakket SocialAndLocalAccounts . Als u een XML-editor nodig hebt, probeert u Visual Studio Code, een lichtgewicht platformoverschrijdende editor.

Het starterspakket ophalen

Haal de aangepaste beleidsstartpakketten op uit GitHub en werk vervolgens de XML-bestanden in het starterspakket SocialAndLocalAccounts bij met de naam van uw Azure AD B2C-tenant.

  1. Download het .zip-bestand of kloon de opslagplaats:

    git clone https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack
    
  2. Vervang in alle bestanden in de map SocialAndLocalAccounts de tekenreeks yourtenant door de naam van uw Azure AD B2C-tenant.

    Als de naam van uw B2C-tenant bijvoorbeeld contosotenant is, worden alle exemplaren van yourtenant.onmicrosoft.com deze contosotenant.onmicrosoft.comtenant.

Toepassings-id's toevoegen aan het aangepaste beleid

Voeg de toepassings-id's toe aan het extensiebestand TrustFrameworkExtensions.xml.

  1. Open SocialAndLocalAccounts/TrustFrameworkExtensions.xml het element en zoek het.<TechnicalProfile Id="login-NonInteractive">
  2. Vervang beide exemplaren van IdentityExperienceFrameworkAppId de toepassings-id van de IdentityExperienceFramework-toepassing die u eerder hebt gemaakt.
  3. Vervang beide exemplaren door ProxyIdentityExperienceFrameworkAppId de toepassings-id van de ProxyIdentityExperienceFramework-toepassing die u eerder hebt gemaakt.
  4. Sla het bestand op.

Facebook toevoegen als id-provider

Het starterspakket SocialAndLocalAccounts bevat sociale aanmelding via Facebook. Facebook is niet vereist voor het gebruik van aangepast beleid, maar we gebruiken het hier om te laten zien hoe u federatieve sociale aanmelding kunt inschakelen in een aangepast beleid. Als u federatieve sociale aanmelding niet hoeft in te schakelen, gebruikt u in plaats daarvan het starterspakket LocalAccounts en slaat u Facebook als een sectie voor identiteitsproviders toevoegen over.

Facebook-toepassing maken

Gebruik de stappen die worden beschreven in Een Facebook-toepassing maken om facebook-app-id en app-geheim op te halen. Sla de vereisten en de rest van de stappen in de registratie instellen over en meld u aan met een Facebook-accountartikel .

De Facebook-toets maken

Voeg het appgeheim van uw Facebook-toepassing toe als beleidssleutel. U kunt het app-geheim gebruiken van de toepassing die u hebt gemaakt als onderdeel van de vereisten van dit artikel.

  1. Meld u aan bij de Azure-portal.
  2. Zorg ervoor dat u de map gebruikt die uw Azure AD B2C-tenant bevat. Selecteer het pictogram Mappen en abonnementen in de portalwerkbalk.
  3. In de portalinstellingen | Pagina Mappen en abonnementen, zoek uw Azure AD B2C-map in de lijst met directorynamen en selecteer Schakeloptie.
  4. Zoek en selecteer Azure AD B2C in de Azure-portal.
  5. Selecteer Identity Experience Framework op de overzichtspagina onder Beleid.
  6. Selecteer Beleidssleutels en selecteer vervolgens Toevoegen.
  7. Kies voor Opties de optie Manual.
  8. Voer FacebookSecret in bij Naam. Het voorvoegsel B2C_1A_ wordt mogelijk automatisch toegevoegd.
  9. Voer in Geheim het appgeheim van uw Facebook-toepassing in vanuit developers.facebook.com. Deze waarde is het geheim, niet de toepassings-id.
  10. Selecteer Handtekening voor sleutelgebruik.
  11. Selecteer Maken.

TrustFrameworkExtensions.xml bijwerken in aangepast starterspakket voor beleid

Vervang in het SocialAndLocalAccounts/TrustFrameworkExtensions.xml bestand de waarde van client_id de Facebook-toepassings-id en sla wijzigingen op.

<TechnicalProfile Id="Facebook-OAUTH">
  <Metadata>
  <!--Replace the value of client_id in this technical profile with the Facebook app ID"-->
    <Item Key="client_id">00000000000000</Item>

Het beleid uploaden

  1. Selecteer het menu-item Identity Experience Framework in uw B2C-tenant in de Azure Portal.
  2. Selecteer Aangepast beleid uploaden.
  3. Upload in deze volgorde de beleidsbestanden:
    1. TrustFrameworkBase.xml
    2. TrustFrameworkLocalization.xml
    3. TrustFrameworkExtensions.xml
    4. SignUpOrSignin.xml
    5. ProfileEdit.xml
    6. PasswordReset.xml

Wanneer u de bestanden uploadt, wordt het voorvoegsel aan elk bestand B2C_1A_ toegevoegd.

Tip

Als de XML-editor validatie ondersteunt, valideert u de bestanden op basis van het TrustFrameworkPolicy_0.3.0.0.xsd XML-schema dat zich in de hoofdmap van het starterspakket bevindt. Xml-schemavalidatie identificeert fouten voordat u gaat uploaden.

Het aangepaste beleid testen

  1. Selecteer onder Aangepast beleidB2C_1A_signup_signin.
  2. Selecteer voor Toepassing selecteren op de overzichtspagina van het aangepaste beleid de webtoepassing met de naam web-app1 die u eerder hebt geregistreerd.
  3. Zorg ervoor dat de antwoord-URL is https://jwt.ms.
  4. Selecteer Nu uitvoeren.
  5. Meld u aan met een e-mailadres.
  6. Selecteer Nu uitvoeren opnieuw.
  7. Meld u aan met hetzelfde account om te bevestigen dat u de juiste configuratie hebt.
  8. Selecteer Nu uitvoeren opnieuw en selecteer Facebook om u aan te melden met Facebook en het aangepaste beleid te testen.

Volgende stappen

In dit artikel hebt u het volgende geleerd:

  • Een aanmeldings- en aanmeldingsstroom maken
  • Een gebruikersstroom voor profielbewerking maken
  • Een gebruikersstroom voor het opnieuw instellen van het wachtwoord maken

Leer vervolgens hoe u Azure AD B2C gebruikt om gebruikers aan te melden en aan te melden in een toepassing. Volg de voorbeeld-apps die hieronder zijn gekoppeld:

U kunt ook meer informatie vinden in de Azure AD B2C Architecture Deep Dive Series.