Azure AD B2C-tenant toevoegen als een OpenID Connect-id-provider

Van toepassing op: Werknemer-huurders Externe huurders (meer informatie)

Belangrijk

Vanaf 1 mei 2025 is Azure AD B2C niet meer beschikbaar voor nieuwe klanten. Zie Is Azure AD B2C nog steeds beschikbaar om te kopen? in onze veelgestelde vragen voor meer informatie.

Als u uw Azure AD B2C-tenant wilt configureren als een id-provider, moet u een aangepast Azure AD B2C-beleid en vervolgens een toepassing maken.

Voorwaarden

• Uw Azure AD B2C-tenant is geconfigureerd met het starterpakket voor aangepaste beleidsregels. Zie Zelfstudie: gebruikersstromen en aangepast beleid maken - Azure Active Directory B2C | Microsoft Learn
  • Wanneer het e-mailbericht een vereiste claim is in het id-token, moet u mogelijk een aangepast beleid gebruiken in uw Azure AD B2C-tenant om de e-mailclaim te ontvangen.
  • U kunt het hulpprogramma voor aangepaste beleidsimplementatie gebruiken

Uw aangepaste beleid configureren

Als deze is ingeschakeld in de gebruikersstroom, kan de externe tenant vereisen dat de e-mailclaim wordt geretourneerd in het token van uw aangepaste Azure AD B2C-beleid.

Nadat u het aangepaste starterpakket voor beleid hebt ingericht, downloadt u het B2C_1A_signup_signin bestand van de blade Identity Experience Framework in uw Azure AD B2C-tenant.

1. Meld u aan bij de Azure Portal en selecteer Azure AD B2C-.
2. Selecteer op de overzichtspagina onder Beleid, het Identiteitservaringskader.
3. Zoek en selecteer het B2C_1A_signup_signin bestand.
4. Downloaden B2C_1A_signup_signin.

Open het B2C_1A_signup_signin.xml-bestand in een teksteditor. Voeg onder het <OutputClaims>-knooppunt de volgende uitvoerclaim toe:

<OutputClaim ClaimTypeReferenceId="signInName" PartnerClaimType="email"/>

Sla het bestand op als B2C_1A_signup_signin.xml en upload het via de blade Identity Experience Framework in uw Azure AD B2C-tenant. Selecteer deze optie om het bestaande beleid te overschrijven. Deze stap zorgt ervoor dat het e-mailadres wordt uitgegeven als een claim naar Microsoft Entra ID na verificatie bij Azure AD B2C.

Microsoft Entra-id registreren als een toepassing

U moet Microsoft Entra-id registreren als een toepassing in uw Azure AD B2C-tenant. Met deze stap kan Azure AD B2C tokens uitgeven aan uw Microsoft Entra-id voor federatie.

Een toepassing maken:

1. Meld u aan bij de Azure Portal en selecteer Azure AD B2C-.

2. Selecteer app-registratiesen selecteer vervolgens Nieuwe registratie.

3. Voer onder Naam'Federatie met Microsoft Entra-id' in.

4. Selecteer onder Ondersteunde accounttypenAccounts in een id-provider of organisatiemap (voor verificatie van gebruikers met gebruikersstromen).

5. Selecteer onder omleidings-URIWeben voer vervolgens de volgende URL in kleine letters in, waarbij tenant-subdomain wordt vervangen door de naam van uw Entra-tenant (bijvoorbeeld Contoso):

   https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2

   https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

   Bijvoorbeeld:

   https://contoso.ciamlogin.com/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/federation/oauth2

   https://contoso.ciamlogin.com/contoso.onmicrosoft.com/federation/oauth2

   Als u een aangepast domein gebruikt, voert u het volgende in:

   https://<your-domain-name>/<your-tenant-name>.onmicrosoft.com/oauth2/authresp

   Vervang your-domain-name door uw aangepaste domein en your-tenant-name door de naam van uw tenant.

6. Schakel onder machtigingenhet selectievakje Beheerderstoestemming verlenen voor openid- en offline_access machtigingen in.

7. Selecteer registreren.

8. Selecteer op de pagina Azure AD B2C - App-registraties de toepassing die u hebt gemaakt en noteer de id van de toepassing (client) weergegeven op de overzichtspagina van de toepassing. U hebt deze id nodig wanneer u de id-provider configureert in de volgende sectie.

9. Selecteer in het linkermenu onder Beherende optie Certificaten & geheimen.

10. Selecteer nieuwe clientsleutel.

11. Voer een beschrijving in voor het clientgeheim in het vak Beschrijving. Bijvoorbeeld: "FederationWithEntraID".

12. Selecteer onder Verloopteen duur waarvoor het geheim geldig isen selecteer vervolgens toevoegen.

13. Noteer de waarde van het geheim. U hebt deze waarde nodig wanneer u de id-provider in de volgende sectie configureert.

Uw Azure AD B2C-tenant configureren als een id-provider in uw externe tenant

Maak uw OpenID Connect-well-known-eindpunt: vervang <your-B2C-tenant-name> door de naam van uw Azure AD B2C-tenant.

Als u een aangepaste domeinnaam gebruikt, vervangt u <custom-domain-name> door uw aangepaste domein. Vervang de <policy> door de beleidsnaam die u hebt geconfigureerd in uw B2C-tenant. Als u het starterspakket gebruikt, is dit het B2C_1A_signup_signin bestand.

https://<your-B2C-tenant-name>.b2clogin.com/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

OF

https://<custom-domain-name>/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

1. Configureer de URI van de aanbieder als: https://<your-b2c-tenant-name>.b2clogin.com/<your-b2c-tenant-id>/v2.0/, of als u een aangepast domein gebruikt, gebruik dan uw aangepaste domein in plaats van your-b2c-tenant-name.b2clogin.com.
2. Voer voor client-idde toepassings-id in die u eerder hebt vastgelegd.
3. Selecteer de clientverificatie als client_secret.
4. Voer voor clientgeheimhet clientgeheim in dat u eerder hebt vastgelegd.
5. Voer in voor het bereik openid profile email offline_access.
6. Selecteer code als antwoordtype.
7. Stel het volgende in voor claimkoppelingen:

• Sub: sub
• naam: naam
• voornaam: voornaam
• Familienaam: family_name
• e-mail (vereist): e-mail

Maak de id-provider en koppel deze aan uw gebruikersstroom die is gekoppeld aan uw toepassing voor aanmelding en registratie.

Verwante inhoud

• Voeg een aangepaste OIDC-identiteitsprovider toe als een externe identiteitsprovider
• OIDC-claimsmapping instellen