Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais em nossas perguntas frequentes.
Antes de começar, use o seletor Escolha um tipo de política na parte superior dessa página para escolher o tipo de política que você está configurando. O Azure Active Directory B2C oferece dois métodos para definir como os usuários interagem com seus aplicativos: por meio de fluxos de usuários predefinidos ou por meio de políticas personalizadas totalmente configuráveis. As etapas necessárias neste artigo são diferentes para cada método.
Um fluxo de usuário no Azure Active Directory B2C (Azure AD B2C) oferece aos usuários do seu aplicativo a oportunidade de se inscrever ou entrar com um provedor de identidade. Quando o percurso é iniciado, o Azure AD B2C recebe um token de acesso do provedor de identidade. O Azure AD B2C usa esse token para recuperar informações sobre o usuário. Habilitar uma declaração no seu fluxo de usuário para passar o token por meio para os aplicativos que você se registrar no Azure AD B2C.
O Azure AD B2C dá suporte à passagem do token de acesso de provedores de identidade OAuth 2.0 , que incluem Facebook e Google. Para todos os outros provedores de identidade, a declaração é retornada em branco.
O Azure AD B2C dá suporte à passagem do token de acesso dos provedores de identidade OAuth 2.0 e OpenID Connect . Para todos os outros provedores de identidade, a declaração é retornada em branco. Para obter mais detalhes, confira a demonstração ao vivo da federação de provedores de identidade.
O diagrama a seguir mostra como um token de provedor de identidade retorna ao seu aplicativo:
Pré-requisitos
- Criar um fluxo do usuário para que os usuários podem se registrar e entrar no seu aplicativo.
- Registrar um aplicativo Web.
- Conclua as etapas em Comece a usar políticas personalizadas no Active Directory B2C. Esse tutorial mostra como atualizar arquivos de política personalizados para usar sua configuração de locatário do Azure AD B2C.
- Registrar um aplicativo Web.
Habilitar a declaração
Entre no portal do Azure como o Administrador de Fluxo de Usuário de ID Externa do locatário do Azure AD B2C.
Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas.
Escolha Todos os serviços no canto superior esquerdo do portal do Azure, pesquise e selecione O Azure AD B2C.
Selecione fluxos de usuário (políticas) e selecione o fluxo do usuário. Por exemplo, B2C_1_signupsignin1.
Selecione Declarações do aplicativo.
Habilite a declaração Token de acesso do provedor de identidade.
Clique em Salvar para salvar o fluxo do usuário.
Testar o fluxo de usuário
Ao testar seus aplicativos no Azure AD B2C, pode ser útil ter o token do Azure AD B2C retornado a https://jwt.ms para examinar as declarações.
Na página Visão geral do fluxo do usuário, selecione Executar fluxo do usuário.
Para o Aplicativo, selecione seu aplicativo que você registrou anteriormente. Para ver o token no exemplo abaixo, a URL de Resposta deve mostrar
https://jwt.ms.Clique em Executar fluxo de usuário e entre com suas credenciais de conta. Você deve ver o token de acesso do provedor de identidade na declaração idp_access_token.
Você deve ver algo semelhante ao seguinte exemplo:
Adicionar os elementos de declaração
Abra o arquivoTrustframeworkExtensions.xml e adicione o seguinte elemento ClaimType com um identificador de
identityProviderAccessTokenao elemento ClaimsSchema :<BuildingBlocks> <ClaimsSchema> <ClaimType Id="identityProviderAccessToken"> <DisplayName>Identity Provider Access Token</DisplayName> <DataType>string</DataType> <AdminHelpText>Stores the access token of the identity provider.</AdminHelpText> </ClaimType> ... </ClaimsSchema> </BuildingBlocks>Adicione o elemento OutputClaim ao elemento TechnicalProfile para cada provedor de identidade OAuth 2.0 de que você deseja o token de acesso. O exemplo a seguir mostra o elemento adicionado ao perfil técnico do Facebook:
<ClaimsProvider> <DisplayName>Facebook</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="Facebook-OAUTH"> <OutputClaims> <OutputClaim ClaimTypeReferenceId="identityProviderAccessToken" PartnerClaimType="{oauth2:access_token}" /> </OutputClaims> ... </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>Salve o arquivo TrustframeworkExtensions.xml .
Abra o arquivo de política de terceira parte confiável, como SignUpOrSignIn.xml, e adicione o elemento OutputClaim ao TechnicalProfile:
<RelyingParty> <DefaultUserJourney ReferenceId="SignUpOrSignIn" /> <TechnicalProfile Id="PolicyProfile"> <OutputClaims> <OutputClaim ClaimTypeReferenceId="identityProviderAccessToken" PartnerClaimType="idp_access_token"/> </OutputClaims> ... </TechnicalProfile> </RelyingParty>Salve o arquivo de política.
Testar sua política
Ao testar seus aplicativos no Azure AD B2C, pode ser útil obter o token do Azure AD B2C retornado para https://jwt.ms para poder examinar as declarações nele.
Carregar os arquivos
- Entre no portal do Azure.
- Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas.
- Escolha Todos os serviços no canto superior esquerdo do Portal do Azure, pesquise Azure AD B2C e selecione-o.
- Selecione a Estrutura de Experiência de Identidade.
- Na página Políticas Personalizadas, clique em Carregar Política.
- Habilite Substituir a política se ela existir e, em seguida, navegue até o arquivo TrustFrameworkExtensions.xml e selecione-o.
- Selecione Carregar.
- Repita as etapas 5 a 7 para o arquivo de terceira parte confiável, como SignUpOrSignIn.xml.
Executar a política
Abra a política que você alterou. Por exemplo, B2C_1A_signup_signin.
Para o Aplicativo, selecione seu aplicativo que você registrou anteriormente. Para ver o token no exemplo abaixo, a URL de Resposta deve mostrar
https://jwt.ms.Selecione Executar agora.
Você deve ver algo semelhante ao seguinte exemplo:
Passar o token de atualização do IDP (opcional)
O token de acesso que o provedor de identidade retorna é válido por um curto período de tempo. Alguns provedores de identidade também emitem um token de atualização junto com o token de acesso. Em seguida, o aplicativo cliente pode trocar o token de atualização do provedor de identidade por um novo token de acesso quando necessário.
A política personalizada do Azure AD B2C dá suporte à passagem do token de atualização de provedores de identidade OAuth 2.0, que inclui Facebook, Google e GitHub.
Para passar o token de atualização do provedor de identidade, siga estas etapas:
Abra o arquivoTrustframeworkExtensions.xml e adicione o seguinte elemento ClaimType com um identificador de
identityProviderRefreshTokenao elemento ClaimsSchema .<ClaimType Id="identityProviderRefreshToken"> <DisplayName>Identity provider refresh token</DisplayName> <DataType>string</DataType> </ClaimType>Adicione o elemento OutputClaim ao elemento TechnicalProfile para cada provedor de identidade OAuth 2.0 para o qual você deseja atualizar o token. O exemplo a seguir mostra o elemento adicionado ao perfil técnico do Facebook:
<ClaimsProvider> <DisplayName>Facebook</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="Facebook-OAUTH"> <OutputClaims> <OutputClaim ClaimTypeReferenceId="identityProviderRefreshToken" PartnerClaimType="{oauth2:refresh_token}" /> </OutputClaims> ... </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>Alguns provedores de identidade exigem que você inclua metadados ou escopos para o perfil técnico do provedor de identidade.
Para o provedor de identidade do Google, adicione dois tipos de reivindicação:
access_typeeprompt. Em seguida, adicione as seguintes declarações de entrada ao perfil técnico do provedor de identidade:<InputClaims> <InputClaim ClaimTypeReferenceId="access_type" PartnerClaimType="access_type" DefaultValue="offline" AlwaysUseDefaultValue="true" /> <!-- The refresh_token is return only on the first authorization for a given user. Subsequent authorization request doesn't return the refresh_token. To fix this issue we add the prompt=consent query string parameter to the authorization request--> <InputClaim ClaimTypeReferenceId="prompt" PartnerClaimType="prompt" DefaultValue="consent" AlwaysUseDefaultValue="true" /> </InputClaims>Outros provedores de identidade podem ter métodos diferentes para emitir um token de atualização. Siga o público-alvo do provedor de identidade e adicione os elementos necessários ao perfil técnico do provedor de identidade.
Salve as alterações feitas no arquivo TrustframeworkExtensions.xml .
Abra o arquivo de política de terceira parte confiável, como SignUpOrSignIn.xml, e adicione o elemento OutputClaim ao TechnicalProfile:
<RelyingParty> <DefaultUserJourney ReferenceId="SignUpOrSignIn" /> <TechnicalProfile Id="PolicyProfile"> <OutputClaims> <OutputClaim ClaimTypeReferenceId="identityProviderRefreshToken" PartnerClaimType="idp_refresh_token"/> </OutputClaims> ... </TechnicalProfile> </RelyingParty>Salve as alterações que você fez no arquivo de política da terceira parte confiável da sua política.
Carregue o arquivo TrustframeworkExtensions.xml e, em seguida, o arquivo de política da terceira parte confiável.
Próximas etapas
Saiba mais na visão geral dos tokens do Azure AD B2C.