Udostępnij za pośrednictwem

Samouczek: konfigurowanie identyfikatora IDEMIA Mobile za pomocą usługi Azure Active Directory B2C

Ważne

Od 1 maja 2025 r. usługa Azure AD B2C nie będzie już dostępna do zakupu dla nowych klientów. Dowiedz się więcej w naszych często zadawanych pytaniach.

Zanim rozpoczniesz

Usługa Azure Active Directory B2C (Azure AD B2C) ma dwie metody definiowania interakcji użytkowników z aplikacjami: wstępnie zdefiniowane przepływy użytkowników lub konfigurowalne zasady niestandardowe. Zobacz Omówienie przepływów użytkownika i zasad niestandardowych

Zintegrować usługę Azure AD B2C z IDEMIA Mobile ID

IDEMIA zapewnia usługi uwierzytelniania biometrycznego, takie jak face ID i odciski palców, co zmniejsza oszustwo i ponowne użycie poświadczeń. Dzięki identyfikatorowi mobilnemu obywatele korzystają z zaufanego, wydanego przez rząd identyfikatora cyfrowego jako uzupełnienie ich identyfikatora fizycznego. Identyfikator urządzenia przenośnego weryfikuje tożsamość przy użyciu wybranego samodzielnie numeru PIN, identyfikatora touch ID lub face ID. Obywatele kontrolują swoje tożsamości, udostępniając informacje potrzebne do transakcji. Wiele departamentów stanu pojazdów samochodowych (DMV) używa identyfikatora mobilnego.

Aby dowiedzieć się więcej, przejdź do idemia.com: IDEMIA

Opis scenariusza

Integracja identyfikatorów urządzeń przenośnych obejmuje następujące składniki:

  • Azure AD B2C — serwer autoryzacji, który weryfikuje poświadczenia użytkownika
    • Jest to również znane jako dostawca tożsamości (IdP)
  • IDEMIA Mobile ID — dostawca OpenID Connect (OIDC) skonfigurowany jako dostawca zewnętrzny usługi Azure AD B2C
    • Zobacz, jak dodać dostawcę tożsamości do dzierżawy usługi Azure AD B2C
  • IdEMIA Mobile ID Application — cyfrowa wersja licencji kierowcy lub identyfikator wystawiony przez stan w aplikacji na telefonie

Identyfikator mobilny jest cyfrowym dokumentem identyfikacyjnym, przenośnym cyfrowym identyfikatorem tożsamości używanym przez wydziały komunikacji do weryfikowania poszczególnych tożsamości. Podpisany cyfrowy identyfikator jest przechowywany na telefonach komórkowych użytkownika jako tożsamości na urządzeniach brzegowych. Podpisane poświadczenia ułatwiają dostęp do usług tożsamości, takich jak dowód wieku, wiedza finansowa klienta, dostęp do konta itp.

Na poniższym diagramie przedstawiono przepływy rejestracji i logowania użytkowników przy użyciu Mobile ID.

Diagram przepływów rejestracji i logowania użytkownika z użyciem Identyfikatora Mobilnego.

  1. Użytkownik odwiedza stronę logowania usługi Azure AD B2C (stronę odpowiadającą) przy użyciu swojego urządzenia i identyfikatora mobilnego w celu przeprowadzenia transakcji.
  2. Usługa Azure AD B2C przeprowadza sprawdzanie identyfikatora. Przekierowuje użytkownika do routera IDEMIA przy użyciu przepływu kodu autoryzacji OIDC.
  3. Router wysyła wyzwanie biometryczne do aplikacji mobilnej użytkownika ze szczegółami żądania uwierzytelniania i autoryzacji.
  4. W zależności od zabezpieczeń może zostać wyświetlony monit o podanie dodatkowych szczegółów: wprowadzanie numeru PIN, selfie na żywo lub oba te elementy.
  5. Odpowiedź uwierzytelniania zapewnia dowód posiadania, obecności i zgody. Odpowiedź powraca do routera.
  6. Router weryfikuje informacje użytkownika i przesyła odpowiedź do Azure AD B2C.
  7. Użytkownik otrzymuje lub odmawia dostępu.

Włączanie identyfikatora dla urządzeń przenośnych

Aby rozpocząć, przejdź do strony idemia.com Skontaktuj się z nami, aby poprosić o demonstrację. W polu tekstowym formularza żądania wskaż zainteresowanie integracją usługi Azure AD B2C.

Integrowanie identyfikatora mobilnego z usługą Azure AD B2C

Skorzystaj z poniższych sekcji, aby przygotować się do i wykonać procesy integracji.

Wymagania wstępne

Aby rozpocząć pracę, potrzebne są następujące elementy:

  • Dostęp dla użytkowników z mobilnym identyfikatorem (mID) wydanym przez stan USA i IDEMIA.

    • Lub w fazie testowania aplikacja demonstracyjna mID z IDEMIA

  • Subskrypcja platformy Azure

    • Jeśli go nie masz, uzyskaj bezpłatne konto platformy Azure

  • Dzierżawa usługi Azure AD B2C połączona z subskrypcją platformy Azure

  • Biznesowa aplikacja internetowa zarejestrowana w dzierżawcy usługi Azure AD B2C

    • Na potrzeby testowania skonfiguruj https://jwt.msaplikację internetową firmy Microsoft z zdekodowanym tokenem

    Uwaga / Notatka

    Zawartość tokenu nie opuszcza Twojej przeglądarki.

Złóż aplikację podmiotu zaufanego dla identyfikatora mID

Podczas integracji identyfikatorów urządzeń przenośnych podano następujące informacje.

Majątek Opis
Nazwa aplikacji Usługa Azure AD B2C lub inna nazwa aplikacji
ID_Klienta Unikatowy identyfikator dostawcy tożsamości (IdP)
Tajemnica klienta Hasło używane przez aplikację jednostki uzależnionej do uwierzytelniania za pomocą idEMIA IdP
Punkt końcowy metadanych Adres URL wskazujący dokument konfiguracji wystawcy tokenu, znany również jako dobrze znany punkt końcowy konfiguracji OpenID
Identyfikatory URI przekierowania https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp
Na przykład https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp

Jeśli używasz domeny niestandardowej, wprowadź .https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp
Identyfikatory URI przekierowania po wylogowaniu https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/{policy}/oauth2/v2.0/logout
Wyślij żądanie wylogowania.

Uwaga / Notatka

Aby skonfigurować dostawcę tożsamości w usłudze Azure AD B2C, musisz później skonfigurować identyfikator klienta i klucz tajny klienta.

Tworzenie klucza zasad

Zapisz zanotowany wpis tajny klienta IDEMIA w dzierżawie usługi Azure AD B2C. Aby wykonać poniższe instrukcje, użyj katalogu z dzierżawcą usługi Azure AD B2C.

  1. Zaloguj się do witryny Azure Portal.
  2. Na pasku narzędzi portalu wybierz pozycję Katalogi i subskrypcje.
  3. Na stronie Ustawienia portalu katalogi i subskrypcje na liście Nazwa katalogu znajdź katalog usługi Azure AD B2C
  4. Wybierz opcję Przełącz.
  5. W lewym górnym rogu witryny Azure Portal wybierz pozycję Wszystkie usługi.
  6. Wyszukaj i wybierz Azure AD B2C.
  7. Na stronie Przegląd wybierz pozycję Identity Experience Framework.
  8. Wybierz Klucze zasad.
  9. Wybierz Dodaj.
  10. W obszarze Opcje wybierz pozycję Ręczne.
  11. Wprowadź nazwę klucza zasad. Na przykład IdemiaAppSecret. Prefiks B2C_1A_ jest dodawany do nazwy klucza.
  12. W polu Sekret wprowadź zanotowany Tajny Klucz klienta.
  13. W obszarze Użycie klucza wybierz pozycję Podpis.
  14. Wybierz Utwórz.

Konfigurowanie identyfikatora urządzenia przenośnego jako zewnętrznego dostawcy tożsamości

Aby umożliwić użytkownikom logowanie się przy użyciu identyfikatora urządzeń przenośnych, zdefiniuj identyfikator IDEMIA jako dostawcę oświadczeń. Ta akcja gwarantuje, że usługa Azure AD B2C komunikuje się za pośrednictwem punktu końcowego, który zapewnia oświadczenia używane przez usługę Azure AD B2C do weryfikowania uwierzytelniania użytkownika za pomocą biometrii.

Aby zdefiniować idEMIA jako dostawcę oświadczeń, dodaj go do elementu ClaimsProvider w pliku rozszerzenia zasad.

     <TechnicalProfile Id="Idemia-Oauth2">
          <DisplayName>IDEMIA</DisplayName>
          <Description>Login with your IDEMIA identity</Description>
          <Protocol Name="OAuth2" />
          <Metadata>
            <Item Key="METADATA">https://idp.XXXX.net/oxauth/.well-known/openid-configuration</Item>
            <!-- Update the Client ID below to the Application ID -->
            <Item Key="client_id">00001111-aaaa-2222-bbbb-3333cccc4444</Item>
            <Item Key="response_types">code</Item>
            <Item Key="scope">openid id_basic mt_scope</Item>
            <Item Key="response_mode">form_post</Item>
            <Item Key="HttpBinding">POST</Item>
            <Item Key="UsePolicyInRedirectUri">false</Item>
            <Item Key="token_endpoint_auth_method">client_secret_basic</Item>
            <Item Key="ClaimsEndpoint">https://idp.XXXX.net/oxauth/restv1/userinfo</Item>
            <Item Key="ValidTokenIssuerPrefixes">https://login.microsoftonline.com/</Item>
          </Metadata>
          <CryptographicKeys>
            <Key Id="client_secret" StorageReferenceId="B2C_1A_IdemiaAppSecret" />
</CryptographicKeys>
          <InputClaims>
            <InputClaim ClaimTypeReferenceId="acr" PartnerClaimType="acr_values" DefaultValue="loa-2" />
          </InputClaims>
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
            <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" />
            <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="firstName1" />
            <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="lastName1" />
            <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
            <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="idemia" />
            <OutputClaim ClaimTypeReferenceId="documentId" />
            <OutputClaim ClaimTypeReferenceId="address1" />
          </OutputClaims>
          <OutputClaimsTransformations>
            <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
            <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
            <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
            <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
          </OutputClaimsTransformations>
          <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
        </TechnicalProfile>

Ustaw client_id identyfikator aplikacji z rejestracji aplikacji.

Majątek Opis
Zakres W przypadku protokołu OpenID Connect (OIDC) minimalne wymaganie to ustawienie parametru zakresu na openid. Dołącz więcej zakresów jako listę rozdzielaną spacjami.
adres_przekierowania W tej lokalizacji agent użytkownika wysyła kod autoryzacji do usługi Azure AD B2C.
typ_odpowiedzi W przypadku przepływu kodu autoryzacji wybierz kod
acr_values Ten parametr steruje metodami uwierzytelniania, które użytkownik musi wykonać podczas uwierzytelniania.

Wybierz jedną z następujących wartości:

Wartość parametru Wpływ na proces uwierzytelniania użytkowników
loa-2 Uwierzytelnianie wieloskładnikowe Microsoft Entra oparte na kryptografii
loa-3 Uwierzytelnianie wieloskładnikowe oparte na kryptografii plus inny czynnik
loa-4 Wieloskładnikowe uwierzytelnianie oparte na kryptografii, a użytkownik wykonuje uwierzytelnianie za pomocą PIN-u oraz biometriki.

Punkt końcowy /userinfo udostępnia oświadczenia dla zakresów żądanych w żądaniu autoryzacji. <W przypadku mt_scope> istnieją oświadczenia, takie jak imię, nazwisko i numer licencji kierowcy, między innymi. Oświadczenia ustawione dla zakresu są publikowane w sekcji scope_to_claims_mapping interfejsu API odnajdywania. Usługa Azure AD B2C żąda oświadczeń z punktu końcowego oświadczeń i zwraca je w elemecie OutputClaims. Może być konieczne zamapować nazwę oświadczenia w zasadach na nazwę w dostawcy tożsamości. Zdefiniuj typ oświadczenia w elemecie ClaimSchema:

<ClaimType Id="documentId">
     <DisplayName>documentId</DisplayName>
     <DataType>string</DataType>
</ClaimType>
<ClaimType Id="address1">
     <DisplayName>address</DisplayName>
     <DataType>string</DataType>
</ClaimType>

Dodanie ścieżki użytkownika

W przypadku tych instrukcji dostawca tożsamości (IdP) jest już skonfigurowany, ale nie pojawia się na żadnej stronie logowania. Jeśli nie masz niestandardowej podróży użytkownika, skopiuj podróż użytkownika z szablonu.

  1. Otwórz plik TrustFrameworkBase.xml w pakiecie startowym.
  2. Znajdź i skopiuj zawartość UserJourneys elementu, który zawiera ID=SignUpOrSignInelement .
  3. Otwórz TrustFrameworkExtensions.xml.
  4. Znajdź element UserJourneys . Jeśli nie ma żadnego elementu, dodaj go.
  5. Wklej zawartość elementu UserJourney jako element podrzędny elementu UserJourneys.
  6. Zmień nazwę identyfikatora podróży użytkownika. Na przykład ID=CustomSignUpSignIn.

Dodawanie dostawcy tożsamości do podróży użytkownika

Jeśli istnieje podróż użytkownika, dodaj do niego nowy dostawcę tożsamości. Najpierw dodaj przycisk logowania, a następnie połącz go z akcją, którą jest utworzony profil techniczny.

  1. W podróży użytkownika znajdź element kroku aranżacji z Type=CombinedSignInAndSignUp lub Type=ClaimsProviderSelection. Zazwyczaj jest to pierwszy krok aranżacji. Element ClaimsProviderSelections ma listę dostawców tożsamości, za pomocą których loguje się użytkownik. Kolejność kontrolek elementów to kolejność przycisków logowania widocznych przez użytkownika.
  2. Dodaj element XML ClaimsProviderSelection.
  3. Ustaw wartość TargetClaimsExchangeId na przyjazną nazwę.
  4. Dodaj element ClaimsExchange .
  5. Ustaw identyfikator na wartość docelowego identyfikatora wymiany oświadczeń.
  6. Zaktualizuj wartość TechnicalProfileReferenceId na utworzony identyfikator profilu technicznego.

Poniższy kod XML przedstawia dwa pierwsze kroki orkiestracji ścieżki użytkownika za pomocą dostawcy tożsamości.

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="IdemiaExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="IdemiaExchange" TechnicalProfileReferenceId="Idemia-Oauth2" />
  </ClaimsExchanges>
</OrchestrationStep>

Konfigurowanie polityki podmiotu polegającego

Zasady strony zależnej, na przykład SignUpSignIn.xml, opisują podróż użytkownika wykonywaną przez Azure AD B2C.

  1. Znajdź element DefaultUserJourney w stronie polegającej.
  2. Zaktualizuj identyfikator ReferenceId, aby był zgodny z identyfikatorem podróży użytkownika, w której dodano IdP.

W poniższym przykładzie, dla podróży użytkownika CustomSignUpOrSignIn, identyfikator ReferenceId jest ustawiony na CustomSignUpOrSignIn.

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Przekaż zasady niestandardowe

Aby wykonać poniższe instrukcje, użyj katalogu z dzierżawcą usługi Azure AD B2C.

  1. Zaloguj się do witryny Azure Portal.

  2. Na pasku narzędzi portalu wybierz katalogi i subskrypcje.

  3. Na stronie Ustawienia portalu katalogi i subskrypcje na liście Nazwa katalogu znajdź katalog usługi Azure AD B2C.

  4. Wybierz opcję Przełącz.

  5. W witrynie Azure Portal wyszukaj i wybierz pozycję Azure AD B2C.

  6. W obszarze Policieswybierz pozycję Identity Experience Framework.

  7. Wybierz Przekaż niestandardową politykę.

  8. Przekaż dwa zmienione pliki zasad w następującej kolejności:

    • Polityka rozszerzeń, na przykład TrustFrameworkExtensions.xml
    • Zasady jednostki uzależnionej, takie jak SignUpSignIn.xml

Przetestuj swoje zasady niestandardowe

  1. Wybierz zasady zaufanej strony, na przykład B2C_1A_signup_signin.
  2. W polu Aplikacja wybierz zarejestrowaną aplikację internetową.
  3. https://jwt.mspojawia się w polu Adres URL odpowiedzi.
  4. Wybierz opcję Uruchom teraz.
  5. Na stronie rejestracji lub logowania wybierz pozycję IDEMIA.
  6. Przeglądarka jest przekierowywana do https://jwt.ms. Zobacz zawartość tokenu zwróconą przez usługę Azure AD B2C.

Dowiedz się więcej : Samouczek: rejestrowanie aplikacji internetowej w usłudze Azure AD B2C

Dalsze kroki