Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Od 1 maja 2025 r. usługa Azure AD B2C nie będzie już dostępna do zakupu dla nowych klientów. Dowiedz się więcej w naszych często zadawanych pytaniach.
Przed rozpoczęciem użyj selektora Wybierz typ zasad w górnej części tej strony, aby wybrać typ konfigurowanych zasad. Usługa Azure Active Directory B2C oferuje dwie metody definiowania sposobu interakcji użytkowników z aplikacjami: za pomocą wstępnie zdefiniowanych przepływów użytkowników lub w pełni konfigurowalnych zasad niestandardowych. Kroki wymagane w tym artykule są różne dla każdej metody.
Przepływ użytkownika w usłudze Azure Active Directory B2C (Azure AD B2C) zapewnia użytkownikom aplikacji możliwość zarejestrowania się lub zalogowania się przy użyciu dostawcy tożsamości. Po rozpoczęciu podróży usługa Azure AD B2C otrzymuje token dostępu od dostawcy tożsamości. Usługa Azure AD B2C używa tego tokenu do pobierania informacji o użytkowniku. Możesz włączyć oświadczenie w przepływie użytkownika, aby umożliwić przekazanie tokenu do aplikacji zarejestrowanych w usłudze Azure AD B2C.
Azure AD B2C obsługuje przekazywanie tokenu dostępu dostawców tożsamości OAuth 2.0 , w tym Facebooka i Google. W przypadku wszystkich innych dostawców tożsamości oświadczenie jest zwracane puste.
Azure AD B2C obsługuje przekazywanie tokenu dostępu dostawców tożsamości OAuth 2.0 i OpenID Connect . W przypadku wszystkich innych dostawców tożsamości oświadczenie jest zwracane puste. Aby uzyskać więcej informacji, zapoznaj się z pokazem na żywo federacji dostawców tożsamości.
Na poniższym diagramie pokazano, jak token dostawcy tożsamości powraca do aplikacji:
Wymagania wstępne
- Utwórz przepływ użytkownika, aby użytkownicy mogli zarejestrować się i zalogować do aplikacji.
- Rejestrowanie aplikacji internetowej.
- Wykonaj kroki opisane w Jak rozpocząć z zasadami niestandardowymi w usłudze Active Directory B2C. W tym samouczku przedstawiono sposób aktualizowania niestandardowych plików zasad, aby korzystać z konfiguracji kont usługi Azure AD B2C.
- Rejestrowanie aplikacji internetowej.
Włącz roszczenie
Zaloguj się do portalu Azure jako Administrator Przepływu Użytkownika Identyfikatora Zewnętrznego dzierżawy usługi Azure AD B2C.
Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się na dzierżawę Azure AD B2C z menu Katalogi + subskrypcje.
Wybierz pozycję Wszystkie usługi w lewym górnym rogu witryny Azure Portal, wyszukaj i wybierz pozycję Azure AD B2C.
Wybierz pozycję Przepływy użytkowników (zasady), a następnie wybierz przepływ użytkownika. Na przykład B2C_1_signupsignin1.
Wybierz pozycję Oświadczenia aplikacji.
Aktywuj żądanie tokenu dostępu dostawcy tożsamości.
Kliknij przycisk Zapisz , aby zapisać przepływ użytkownika.
Testowanie przepływu użytkownika
Podczas testowania aplikacji w usłudze Azure AD B2C może być przydatny powrót tokenu usługi Azure AD B2C w https://jwt.ms celu przejrzenia zawartych w nim oświadczeń.
Na stronie Przegląd przepływu użytkownika wybierz pozycję Uruchom przepływ użytkownika.
W polu Application (Aplikacja) wybierz aplikację, która została wcześniej zarejestrowana. Aby wyświetlić token w poniższym przykładzie, Adres URL odpowiedzi powinien wyświetlać
https://jwt.ms.Kliknij Uruchom przepływ użytkownika, a następnie zaloguj się przy użyciu poświadczeń konta. W oświadczeniu dotyczącym idp_access_token powinien być widoczny token dostępu dostawcy tożsamości.
Powinno zostać wyświetlone coś podobnego do poniższego przykładu:
Dodawanie elementów oświadczenia
Otwórz plik TrustframeworkExtensions.xml i dodaj następujący element ClaimType z identyfikatorem
identityProviderAccessTokendo elementu ClaimsSchema :<BuildingBlocks> <ClaimsSchema> <ClaimType Id="identityProviderAccessToken"> <DisplayName>Identity Provider Access Token</DisplayName> <DataType>string</DataType> <AdminHelpText>Stores the access token of the identity provider.</AdminHelpText> </ClaimType> ... </ClaimsSchema> </BuildingBlocks>Dodaj element OutputClaim do elementu TechnicalProfile dla każdego dostawcy tożsamości OAuth 2.0, dla którego chcesz uzyskać token dostępu. Poniższy przykład przedstawia element dodany do profilu technicznego Facebooka:
<ClaimsProvider> <DisplayName>Facebook</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="Facebook-OAUTH"> <OutputClaims> <OutputClaim ClaimTypeReferenceId="identityProviderAccessToken" PartnerClaimType="{oauth2:access_token}" /> </OutputClaims> ... </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>Zapisz plikTrustframeworkExtensions.xml .
Otwórz plik zasad jednostki uzależnionej, taki jak SignUpOrSignIn.xml, i dodaj element OutputClaim do elementu TechnicalProfile:
<RelyingParty> <DefaultUserJourney ReferenceId="SignUpOrSignIn" /> <TechnicalProfile Id="PolicyProfile"> <OutputClaims> <OutputClaim ClaimTypeReferenceId="identityProviderAccessToken" PartnerClaimType="idp_access_token"/> </OutputClaims> ... </TechnicalProfile> </RelyingParty>Zapisz plik strategii.
Testowanie zasad
Podczas testowania aplikacji w usłudze Azure AD B2C może być przydatne zwrócenie https://jwt.ms tokenu usługi Azure AD B2C, aby móc przejrzeć zawarte w nim oświadczenia.
Przekazywanie plików
- Zaloguj się do witryny Azure Portal.
- Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się na dzierżawę Azure AD B2C z menu Katalogi + subskrypcje.
- Wybierz pozycję Wszystkie usługi w lewym górnym rogu witryny Azure Portal, a następnie wyszukaj i wybierz pozycję Azure AD B2C.
- Wybierz Identity Experience Framework.
- Na stronie Zasady niestandardowe kliknij pozycję Przekaż zasady.
- Wybierz opcję Zastąp zasadę, jeśli istnieje, a następnie wyszukaj i wybierz plik TrustframeworkExtensions.xml .
- Wybierz pozycję Prześlij.
- Powtórz kroki od 5 do 7 dla pliku jednostki uzależnionej, takiego jak SignUpOrSignIn.xml.
Uruchamianie zasad
Otwórz zmienioną zasadę. Na przykład B2C_1A_signup_signin.
W polu Application (Aplikacja) wybierz aplikację, która została wcześniej zarejestrowana. Aby wyświetlić token w poniższym przykładzie, Adres URL odpowiedzi powinien wyświetlać
https://jwt.ms.Wybierz opcję Uruchom teraz.
Powinno zostać wyświetlone coś podobnego do poniższego przykładu:
Przekaż token odświeżania (opcjonalnie) IDP (Dostawca Tożsamości)
Token dostępu zwracany przez dostawcę tożsamości jest ważny przez krótki czas. Niektórzy dostawcy tożsamości wystawiają również token odświeżania wraz z tokenem dostępu. W razie potrzeby aplikacja kliencka może następnie wymienić token odświeżania dostawcy tożsamości na nowy token dostępu.
Niestandardowe zasady usługi Azure AD B2C obsługują przekazywanie tokenu odświeżania dostawców tożsamości OAuth 2.0, w tym Facebook, Google i GitHub.
Aby przekazać token odświeżania dostawcy tożsamości, wykonaj następujące kroki:
Otwórz plik TrustframeworkExtensions.xml i dodaj następujący element ClaimType z identyfikatorem
identityProviderRefreshTokendo elementu ClaimsSchema .<ClaimType Id="identityProviderRefreshToken"> <DisplayName>Identity provider refresh token</DisplayName> <DataType>string</DataType> </ClaimType>Dodaj element OutputClaim do elementu TechnicalProfile dla każdego dostawcy tożsamości OAuth 2.0, dla którego chcesz użyć tokenu odświeżania. Poniższy przykład przedstawia element dodany do profilu technicznego Facebooka:
<ClaimsProvider> <DisplayName>Facebook</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="Facebook-OAUTH"> <OutputClaims> <OutputClaim ClaimTypeReferenceId="identityProviderRefreshToken" PartnerClaimType="{oauth2:refresh_token}" /> </OutputClaims> ... </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>Niektórzy dostawcy tożsamości wymagają dołączenia metadanych lub zakresów do profilu technicznego dostawcy tożsamości.
W przypadku dostawcy tożsamości Google dodaj dwa typy
access_typeoświadczeń iprompt. Następnie dodaj następujące oświadczenia wejściowe do profilu technicznego dostawcy tożsamości:<InputClaims> <InputClaim ClaimTypeReferenceId="access_type" PartnerClaimType="access_type" DefaultValue="offline" AlwaysUseDefaultValue="true" /> <!-- The refresh_token is return only on the first authorization for a given user. Subsequent authorization request doesn't return the refresh_token. To fix this issue we add the prompt=consent query string parameter to the authorization request--> <InputClaim ClaimTypeReferenceId="prompt" PartnerClaimType="prompt" DefaultValue="consent" AlwaysUseDefaultValue="true" /> </InputClaims>Inni dostawcy tożsamości mogą stosować różne metody do wystawiania tokenów odświeżających. Obserwuj odbiorców dostawcy tożsamości i dodaj niezbędne elementy do profilu technicznego dostawcy tożsamości.
Zapisz wprowadzone zmiany w pliku TrustframeworkExtensions.xml .
Otwórz plik zasad jednostki uzależnionej, taki jak SignUpOrSignIn.xml, i dodaj element OutputClaim do elementu TechnicalProfile:
<RelyingParty> <DefaultUserJourney ReferenceId="SignUpOrSignIn" /> <TechnicalProfile Id="PolicyProfile"> <OutputClaims> <OutputClaim ClaimTypeReferenceId="identityProviderRefreshToken" PartnerClaimType="idp_refresh_token"/> </OutputClaims> ... </TechnicalProfile> </RelyingParty>Zapisz wprowadzone zmiany w pliku zasad jednostki uzależnionej zasady.
Przekaż plik TrustframeworkExtensions.xml , a następnie plik zasad jednostki uzależnionej.
Dalsze kroki
Dowiedz się więcej w omówieniu tokenów Azure AD B2C.