Konfigurowanie logowania dla określonej organizacji firmy Microsoft Entra w usłudze Azure Active Directory B2C

Ważne

Od 1 maja 2025 r. usługa Azure AD B2C nie będzie już dostępna do zakupu dla nowych klientów. Dowiedz się więcej w naszych często zadawanych pytaniach.

W tym artykule pokazano, jak włączyć logowanie dla użytkowników z określonej organizacji firmy Microsoft Entra przy użyciu przepływu użytkownika w usłudze Azure AD B2C.

Przed rozpoczęciem użyj selektora Wybierz typ zasad w górnej części tej strony, aby wybrać typ konfigurowanych zasad. Usługa Azure Active Directory B2C oferuje dwie metody definiowania sposobu interakcji użytkowników z aplikacjami: za pomocą wstępnie zdefiniowanych przepływów użytkowników lub w pełni konfigurowalnych zasad niestandardowych. Kroki wymagane w tym artykule są różne dla każdej metody.

Uwaga / Notatka

W usłudze Azure Active Directory B2C niestandardowe zasady są przeznaczone głównie do rozwiązywania złożonych scenariuszy. W przypadku większości scenariuszy zalecamy używanie wbudowanych przepływów użytkownika. Jeśli nie zostało to zrobione, dowiedz się więcej o niestandardowym pakiecie startowym zasad w temacie Wprowadzenie do zasad niestandardowych w usłudze Active Directory B2C.

Wymagania wstępne

• Utwórz przepływ użytkownika, aby użytkownicy mogli zarejestrować się i zalogować do aplikacji.
• Rejestrowanie aplikacji internetowej.

• Wykonaj kroki opisane w Jak rozpocząć z zasadami niestandardowymi w usłudze Active Directory B2C. W tym samouczku przedstawiono sposób aktualizowania niestandardowych plików zasad, aby korzystać z konfiguracji kont usługi Azure AD B2C.
• Rejestrowanie aplikacji internetowej.

Weryfikowanie domeny wydawcy aplikacji

Od listopada 2020 r. nowe rejestracje aplikacji są wyświetlane jako niezweryfikowane w monicie zgody użytkownika, chyba że domena wydawcy aplikacji zostanie zweryfikowana, a tożsamość firmy została zweryfikowana w usłudze Microsoft Partner Network i skojarzona z aplikacją. (Dowiedz się więcej o tej zmianie). Należy pamiętać, że w przypadku przepływów użytkownika usługi Azure AD B2C domena wydawcy jest wyświetlana tylko w przypadku korzystania z konta Microsoft lub innej dzierżawy usługi Microsoft Entra jako dostawcy tożsamości. Aby spełnić te nowe wymagania, wykonaj następujące czynności:

1. Zweryfikuj tożsamość firmy przy użyciu konta programu Microsoft Partner Network (MPN). Ten proces weryfikuje informacje o firmie i podstawowym kontakcie firmy.
2. Ukończ proces weryfikacji wydawcy, aby skojarzyć konto MPN z rejestracją aplikacji przy użyciu jednej z następujących opcji:
   • Jeśli rejestracja aplikacji dla dostawcy tożsamości konta Microsoft znajduje się w dzierżawie Microsoft Entra, zweryfikuj aplikację w portalu Rejestracji Aplikacji.
   • Jeśli rejestracja aplikacji dla dostawcy tożsamości konta Microsoft znajduje się w dzierżawie usługi Azure AD B2C, oznacz aplikację jako zweryfikowaną przez wydawcę przy użyciu API Microsoft Graph (na przykład przy użyciu Eksploratora Graph). Interfejs ustawiania zweryfikowanego wydawcy aplikacji jest obecnie wyłączony dla dzierżaw usługi Azure AD B2C.

Rejestrowanie aplikacji Microsoft Entra

Aby włączyć logowanie dla użytkowników przy użyciu konta Microsoft Entra z określonej organizacji firmy Microsoft Entra, w usłudze Azure Active Directory B2C (Azure AD B2C), musisz utworzyć aplikację w witrynie Azure Portal. Aby uzyskać więcej informacji, zobacz Rejestrowanie aplikacji przy użyciu Platforma tożsamości Microsoft.

1. Zaloguj się do witryny Azure Portal.

2. Jeśli masz dostęp do wielu tenantów, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się na dzierżawę Microsoft Entra ID z menu Katalogi i subskrypcje.

3. W witrynie Azure Portal wyszukaj i wybierz pozycję Microsoft Entra ID.

4. W menu po lewej stronie w obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji.

5. Wybierz + Nowa rejestracja.

6. Wprowadź nazwę aplikacji. Na przykład Azure AD B2C App.

7. Zaakceptuj domyślny wybór opcji Konta tylko w tym katalogu organizacyjnym (tylko katalog domyślny — pojedynczy dzierżawca) dla tej aplikacji.

8. W polu Identyfikator URI przekierowania wybierz wartość Web i wprowadź następujący adres URL z użyciem małych liter, gdzie your-B2C-tenant-name jest zastępowany nazwą dzierżawy usługi Azure AD B2C.

   https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp
   

   Na przykład https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp.

   Jeśli używasz domeny niestandardowej, wprowadź.https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp Zastąp your-domain-name własną domeną i your-tenant-name nazwą najemcy.

9. Wybierz pozycję Zarejestruj. Zarejestruj identyfikator aplikacji (klienta) do użycia w późniejszym kroku.

10. Wybierz pozycję Certyfikaty i wpisy tajne, a następnie wybierz pozycję Nowy klucz tajny klienta.

11. Wprowadź opis dla tajemnicy, wybierz datę wygaśnięcia, a następnie wybierz Dodaj. Zapisz wartość sekretu, aby użyć jej w późniejszym kroku.

Skonfiguruj Microsoft Entra ID jako dostawcę tożsamości

1. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się na dzierżawę Azure AD B2C z menu Katalogi + subskrypcje.

2. Wybierz pozycję Wszystkie usługi w lewym górnym rogu witryny Azure Portal, a następnie wyszukaj i wybierz pozycję Azure AD B2C.

3. Wybierz pozycję Dostawcy tożsamości, a następnie wybierz pozycję Nowy dostawca OpenID Connect.

4. W polu Nazwa wprowadź nazwę. Na przykład wprowadź Contoso Microsoft Entra ID.

5. W polu Adres URL metadanych wprowadź następujący adres URL, zastępując {tenant} ciąg nazwą domeny dzierżawy firmy Microsoft Entra:

   https://login.microsoftonline.com/{tenant}/v2.0/.well-known/openid-configuration
   

Na przykład https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/.well-known/openid-configuration. Jeśli używasz domeny niestandardowej, zastąp ciąg contoso.com domeną niestandardową w pliku https://login.microsoftonline.com/contoso.com/v2.0/.well-known/openid-configuration.

1. Dla identyfikatora klienta , wprowadź wcześniej zarejestrowany identyfikator aplikacji.

2. W polu Klucz tajny klienta wprowadź wcześniej zarejestrowaną wartość klucza tajnego klienta.

3. W polu Zakres wprowadź wartość openid profile.

4. Pozostaw wartości domyślne dla pola Typ odpowiedzi i Tryb odpowiedzi.

5. (Opcjonalnie) W polu Wskazówka dotycząca domeny wprowadź wartość contoso.com. Aby uzyskać więcej informacji, zobacz Konfigurowanie logowania bezpośredniego przy użyciu usługi Azure Active Directory B2C.

6. W obszarze Mapowanie oświadczeń dostawcy tożsamości wybierz następujące oświadczenia:

   • Identyfikator użytkownika: oid
   • Nazwa wyświetlana: nazwa
   • Podana nazwa: given_name
   • Nazwisko: family_name
   • Adres e-mail: adres e-mail

7. Wybierz Zapisz.

Dodawanie dostawcy tożsamości Entra firmy Microsoft do przepływu użytkownika

Na tym etapie skonfigurowano dostawcę tożsamości Microsoft Entra, ale nie jest jeszcze dostępny w żadnej ze stron logowania. Aby dodać dostawcę tożsamości Microsoft Entra do przepływu użytkownika:

1. W dzierżawie Azure AD B2C wybierz opcję Przepływy użytkownika.
2. Kliknij przepływ użytkownika, do którego chcesz dodać dostawcę tożsamości Microsoft Entra.
3. W obszarze Ustawienia wybierz pozycję Dostawcy tożsamości
4. W obszarze Niestandardowi dostawcy tożsamości wybierz pozycję Contoso Microsoft Entra ID.
5. Wybierz Zapisz.
6. Aby przetestować politykę, wybierz pozycję Uruchom przepływ użytkownika.
7. W polu Aplikacja wybierz wcześniej zarejestrowaną aplikację internetową. Adres URL odpowiedzi powinien zawierać wartość https://jwt.ms.
8. Wybierz przycisk Uruchom przepływ użytkownika.
9. Na stronie rejestracji lub logowania wybierz pozycję Contoso Microsoft Entra ID , aby zalogować się przy użyciu konta firmy Microsoft Entra Contoso.

Jeśli proces logowania zakończy się pomyślnie, przeglądarka zostanie przekierowana do https://jwt.ms, gdzie wyświetlana jest zawartość tokenu zwróconego przez Azure AD B2C.

Tworzenie klucza zasad

Musisz przechowywać klucz aplikacyjny, który utworzyłeś w dzierżawie usługi Azure AD B2C.

1. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się na dzierżawę Azure AD B2C z menu Katalogi + subskrypcje.
2. Wybierz pozycję Wszystkie usługi w lewym górnym rogu witryny Azure Portal, a następnie wyszukaj i wybierz pozycję Azure AD B2C.
3. W obszarze Policieswybierz pozycję Identity Experience Framework.
4. Wybierz Klucze zasad, a następnie wybierz Dodaj.
5. W obszarze Opcje wybierz pozycję Manual.
6. Wprowadź nazwę klucza zasad. Na przykład ContosoAppSecret. Prefiks B2C_1A_ jest dodawany automatycznie do nazwy klucza podczas jego tworzenia, więc jego odwołanie w pliku XML w poniższej sekcji ma na celu B2C_1A_ContosoAppSecret.
7. W polu Tajny wprowadź wartość tajnej klienta, która została zarejestrowana wcześniej.
8. W obszarze Użycie klucza wybierz pozycję Signature.
9. Wybierz Utwórz.

Skonfiguruj Microsoft Entra ID jako dostawcę tożsamości

Aby umożliwić użytkownikom logowanie się przy użyciu konta Microsoft Entra, należy zdefiniować identyfikator Entra firmy Microsoft jako dostawcę oświadczeń, z którym usługa Azure AD B2C może komunikować się za pośrednictwem punktu końcowego. Punkt końcowy udostępnia zestaw oświadczeń używanych przez usługę Azure AD B2C do sprawdzania, czy określony użytkownik został uwierzytelniony.

Microsoft Entra ID można zdefiniować jako dostawcę oświadczeń, dodając Microsoft Entra ID do elementu ClaimsProvider w pliku rozszerzenia polityki.

1. Otwórz plik TrustFrameworkExtensions.xml .

2. Znajdź element ClaimsProviders . Jeśli nie istnieje, dodaj go pod elementem głównym.

3. Dodaj nowy element ClaimsProvider w następujący sposób:

   <ClaimsProvider>
     <Domain>Contoso</Domain>
     <DisplayName>Login using Contoso</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="AADContoso-OpenIdConnect">
         <DisplayName>Contoso Employee</DisplayName>
         <Description>Login with your Contoso account</Description>
         <Protocol Name="OpenIdConnect"/>
         <Metadata>
           <Item Key="METADATA">https://login.microsoftonline.com/tenant-name.onmicrosoft.com/v2.0/.well-known/openid-configuration</Item>
           <Item Key="client_id">00001111-aaaa-2222-bbbb-3333cccc4444</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid profile</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_ContosoAppSecret"/>
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="oid"/>
           <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid"/>
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin"/>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. W elemencie ClaimsProvider zaktualizuj wartość domain na unikatową wartość, która może służyć do odróżnienia jej od innych dostawców tożsamości. Na przykład: Contoso. Nie umieszczasz .com na końcu tego ustawienia domeny.

5. W elemecie ClaimsProvider zaktualizuj wartość DisplayName na przyjazną nazwę dostawcy oświadczeń. Ta wartość nie jest obecnie używana.

Aktualizowanie profilu technicznego

Aby uzyskać token z punktu końcowego firmy Microsoft Entra, należy zdefiniować protokoły, których usługa Azure AD B2C powinna używać do komunikowania się z identyfikatorem Entra firmy Microsoft. Odbywa się to wewnątrz elementu TechnicalProfile obiektu ClaimsProvider.

1. Zaktualizuj identyfikator elementu TechnicalProfile . Ten identyfikator służy do odwoływania się do tego profilu technicznego z innych części zasad, na przykład AADContoso-OpenIdConnect.
2. Zaktualizuj wartość parametru DisplayName. Ta wartość zostanie wyświetlona na przycisku logowania na ekranie logowania.
3. Zaktualizuj wartość pola Opis.
4. Identyfikator Entra firmy Microsoft używa protokołu OpenID Connect, dlatego upewnij się, że wartość parametru Protocol to OpenIdConnect.
5. Ustaw wartość METADATA na https://login.microsoftonline.com/tenant-name.onmicrosoft.com/v2.0/.well-known/openid-configuration, gdzie tenant-name to nazwa dzierżawcy Microsoft Entra. Na przykład https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/.well-known/openid-configuration
6. Ustaw client_id na identyfikator aplikacji z rejestracji aplikacji.
7. W obszarze KryptograficzneKlucze zaktualizuj wartość StorageReferenceId na nazwę utworzonego wcześniej klucza zasad. Na przykład B2C_1A_ContosoAppSecret.

Dodanie ścieżki użytkownika

W tym momencie dostawca tożsamości został skonfigurowany, ale nie jest jeszcze dostępny na żadnej ze stron logowania. Jeśli nie masz własnej niestandardowej podróży użytkownika, utwórz duplikat szablonu podróży użytkownika, inaczej przejdź do następnego kroku.

1. Otwórz plik TrustFrameworkBase.xml z pakietu startowego.
2. Znajdź i skopiuj całą zawartość elementu UserJourney , który zawiera Id="SignUpOrSignIn"element .
3. Otwórz TrustFrameworkExtensions.xml i znajdź element UserJourneys . Jeśli element nie istnieje, dodaj go.
4. Wklej całą zawartość elementu UserJourney skopiowaną jako element podrzędny elementu UserJourneys .
5. Zmień identyfikator podróży użytkownika. Na przykład Id="CustomSignUpSignIn".

Dodaj dostawcę tożsamości do podróży użytkownika

Teraz, gdy masz ścieżkę użytkownika, dodaj nowego dostawcę tożsamości do tej ścieżki. Najpierw dodaj przycisk logowania, a następnie połącz przycisk z akcją. Akcja to utworzony wcześniej profil techniczny.

1. Znajdź element kroku aranżacji, który zawiera Type="CombinedSignInAndSignUp" lub Type="ClaimsProviderSelection" w ścieżce użytkownika. Zazwyczaj jest to pierwszy krok aranżacji. Element ClaimsProviderSelections zawiera listę dostawców tożsamości, za pomocą których użytkownik może się zalogować. Kolejność elementów kontroluje kolejność przycisków logowania przedstawionych użytkownikowi. Dodaj element XML ClaimsProviderSelection. Ustaw wartość TargetClaimsExchangeId na przyjazną nazwę.

2. W następnym kroku aranżacji dodaj element ClaimsExchange . Ustaw Id na wartość identyfikatora wymiany oświadczeń dla celu. Zaktualizuj wartość TechnicalProfileReferenceId na Id profilu technicznego utworzonego wcześniej.

Poniższy kod XML przedstawia dwa pierwsze kroki orkiestracji podróży użytkownika z dostawcą tożsamości:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="AzureADContosoExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="AzureADContosoExchange" TechnicalProfileReferenceId="AADContoso-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

Konfigurowanie polityki podmiotu polegającego

Polityka zaufanej strony, na przykład SignUpSignIn.xml, określa podróż użytkownika, którą zrealizuje Azure AD B2C. Znajdź element DefaultUserJourney w stronie zaufanej. Zaktualizuj identyfikator ReferenceId , aby był zgodny z identyfikatorem podróży użytkownika, w którym dodano dostawcę tożsamości.

W poniższym przykładzie dla ścieżki użytkownika CustomSignUpSignIn identyfikator ReferenceId jest ustawiony na:CustomSignUpSignIn

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Przekaż zasady niestandardowe

1. Zaloguj się do witryny Azure Portal.
2. Wybierz ikonę Katalog i subskrypcja na pasku narzędzi portalu, a następnie wybierz katalog zawierający dzierżawę usługi Azure AD B2C.
3. W witrynie Azure Portal wyszukaj i wybierz pozycję Azure AD B2C.
4. W obszarze Policieswybierz pozycję Identity Experience Framework.
5. Wybierz Załaduj zasady niestandardowe, a następnie załaduj dwa zmienione pliki zasad w następującej kolejności: zasady rozszerzenia, na przykład TrustFrameworkExtensions.xml, a następnie zasady strony zależnej, takie jak SignUpSignIn.xml.

Przetestuj swoje zasady niestandardowe

1. Wybierz zasady zaufanej strony, na przykład B2C_1A_signup_signin.
2. W polu Aplikacja wybierz wcześniej zarejestrowaną aplikację internetową. Adres URL odpowiedzi powinien zawierać wartość https://jwt.ms.
3. Wybierz przycisk Uruchom teraz .
4. Na stronie rejestracji lub logowania wybierz pozycję Pracownik firmy Contoso , aby zalogować się przy użyciu konta firmy Microsoft Entra Contoso.

Jeśli proces logowania zakończy się pomyślnie, przeglądarka zostanie przekierowana do https://jwt.ms, gdzie wyświetlana jest zawartość tokenu zwróconego przez Azure AD B2C.

[Opcjonalnie] Konfigurowanie opcjonalnych oświadczeń

Jeśli chcesz uzyskać roszczenia family_name i given_name z identyfikatora Microsoft Entra ID, możesz skonfigurować opcjonalne roszczenia dla aplikacji w interfejsie użytkownika portalu Azure lub manifeście aplikacji. Aby uzyskać więcej informacji, zobacz How to provide optional claims to your Microsoft Entra app (Jak dostarczyć opcjonalne oświadczenia do aplikacji Microsoft Entra).

1. Zaloguj się do portalu Azure za pomocą dzierżawy organizacyjnej Microsoft Entra. Jeśli już się zalogowałeś, upewnij się, że używasz katalogu zawierającego dzierżawę Microsoft Entra w Twojej organizacji (na przykład Contoso):
   1. Wybierz ikonę Katalogi i subskrypcje na pasku narzędzi portalu.
   2. W ustawieniach portalu | Na stronie Katalogi i subskrypcje znajdź katalog Microsoft Entra na liście Nazwa katalogu , a następnie wybierz pozycję Przełącz.
2. W witrynie Azure Portal wyszukaj i wybierz pozycję Microsoft Entra ID.
3. W menu po lewej stronie w obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji.
4. Wybierz aplikację na liście, dla której chcesz skonfigurować opcjonalne roszczenia, na przykład Azure AD B2C App.
5. W sekcji Zarządzanie wybierz pozycję Konfiguracja tokenu.
6. Wybierz pozycję Dodaj opcjonalne oświadczenie.
7. W polu Typ tokenu wybierz pozycję Identyfikator.
8. Wybierz opcjonalne oświadczenia, które chcesz dodać, family_name i given_name.
9. Wybierz Dodaj. Jeśli zostanie wyświetlone uprawnienie Włącz profil programu Microsoft Graph (wymagane, aby oświadczenia pojawiały się w tokenie), włącz je, a następnie wybierz pozycję Dodaj ponownie.

[Opcjonalnie] Weryfikowanie autentyczności aplikacji

Weryfikacja wydawcy pomaga użytkownikom zrozumieć autentyczność zarejestrowanej aplikacji. Zweryfikowana aplikacja oznacza, że wydawca aplikacji zweryfikował swoją tożsamość przy użyciu programu Microsoft Partner Network (MPN). Dowiedz się, jak oznaczyć aplikację jako taką, której wydawca jest zweryfikowany.

Dalsze kroki

Dowiedz się, jak przekazać token Microsoft Entra do swojej aplikacji.