Defina um perfil técnico OpenId Connect em uma política personalizada do Azure Active Directory B2C

  • Artigo

Observação

No Azure Active Directory B2C, as políticas personalizadas são projetadas principalmente para tratar de cenários complexos. Para a maioria dos cenários, recomendamos que você use fluxos de usuários predefinidos. Se você ainda não fez isso, saiba mais sobre o pacote de início de política personalizado em Introdução às políticas personalizadas no Active Directory B2C.

O Azure Active Directory B2C (Azure AD B2C) é compatível com o provedor de identidade do protocolo OpenID Connect. O OpenID Connect 1.0 define uma camada de identidade com base em OAuth 2.0 e representa a estado de última geração em protocolos de autenticação modernos. Com o perfil técnico do OpenID Connect, você pode federar com um provedor de identidade baseado no OpenID Connect, como a ID do Microsoft Entra. A Federação com um provedor de identidade permite que os usuários entrem com identidades sociais ou empresariais existentes.

Protocolo

O atributo Name do elemento Protocol precisa ser definido como OpenIdConnect. Por exemplo, o protocolo para o perfil técnico MSA-OIDC é OpenIdConnect:

<TechnicalProfile Id="MSA-OIDC">
  <DisplayName>Microsoft Account</DisplayName>
  <Protocol Name="OpenIdConnect" />
  ...

Declarações de entrada

Os elementos InputClaims e InputClaimsTransformations não são necessários. Mas talvez você queira enviar parâmetros adicionais para seu provedor de identidade. O exemplo a seguir adiciona o parâmetro de cadeia de caracteres de consulta domain_hint com o valor de contoso.com à solicitação de autorização.

<InputClaims>
  <InputClaim ClaimTypeReferenceId="domain_hint" DefaultValue="contoso.com" />
</InputClaims>

Declarações de saída

O elemento OutputClaims contém uma lista de declarações retornadas pelo provedor de identidade OpenID Connect. Talvez seja necessário mapear o nome da declaração definida em sua política para o nome definido no provedor de identidade. Você também pode incluir declarações que não são retornadas pelo provedor de identidade, desde que defina o atributo DefaultValue.

O elemento OutputClaimsTransformations pode conter uma coleção de elementos OutputClaimsTransformation usados para modificar as declarações de saída ou gerar novas declarações.

O exemplo a seguir mostra as declarações retornadas pelo provedor de identidade de Conta Microsoft:

  • A declaração sub que é mapeada para a declaração issuerUserId.
  • A declaração name que é mapeada para a declaração displayName.
  • O email sem mapeamento de nome.

O perfil técnico também retorna declarações que não são retornadas pelo provedor de identidade:

  • A declaração identityProvider que contém o nome do provedor de identidade.
  • A declaração authenticationSource com um valor padrão de socialIdpAuthentication.
<OutputClaims>
  <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="live.com" />
  <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
  <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
  <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
  <OutputClaim ClaimTypeReferenceId="email" />
</OutputClaims>

Metadados

Atributo Obrigatório Descrição
client_id Sim O identificador do aplicativo do provedor de identidade.
IdTokenAudience Não O público-alvo do id_token. Se for especificado, o Azure AD B2C verificará se a declaração aud em um token retornado pelo provedor de identidade é igual àquela especificada nos metadados do IdTokenAudience.
METADATA Sim Uma URL que aponta para um documento de configuração do provedor de identidade do OpenID Connect, que também é conhecido como ponto de extremidade de configuração bem conhecido do OpenID. A URL pode conter a expressão {tenant}, que é substituída pelo nome do locatário.
authorization_endpoint Não Uma URL que aponta para um ponto de extremidade da autorização de configuração do provedor de identidade do OpenID Connect. O valor dos metadados de authorization_endpoint tem precedência sobre o authorization_endpoint especificado no ponto de extremidade de configuração bem conhecido do OpenID. A URL pode conter a expressão {tenant}, que é substituída pelo nome do locatário.
end_session_endpoint Não O URL do ponto de extremidade da sessão. O valor dos metadados do end_session_endpoint tem precedência sobre o end_session_endpoint especificado no ponto de extremidade de configuração conhecido do OpenID.
emissor Não O identificador exclusivo de um provedor de identidade do OpenID Connect. O valor dos metadados do emissor tem precedência sobre o issuer especificado no ponto de extremidade de configuração bem conhecido do OpenID. Se for especificado, o Azure AD B2C verificará se a declaração iss em um token retornado pelo provedor de identidade é igual àquela especificada nos metadados do emissor.
ProviderName Não O nome do provedor de identidade.
response_types Não O tipo de resposta de acordo com a especificação do OpenID Connect Core 1.0. Valores possíveis: id_token, code ou token.
response_mode Não O método que o provedor de identidade usa para enviar o resultado de volta ao Azure AD B2C. Valores possíveis: query, form_post (padrão) ou fragment.
scope Não O escopo da solicitação definida de acordo com a especificação do OpenID Connect Core 1.0. Como openid, profile e email.
HttpBinding Não A associação HTTP esperada para o token de acesso e pontos de extremidade do token de declarações. Valores possíveis: GET ou POST.
ValidTokenIssuerPrefixes Não Uma chave que pode ser usada para entrar nos locatários ao usar um provedor de identidade multilocatário, como a ID do Microsoft Entra.
UsePolicyInRedirectUri Não Indica se deve ser usada uma política ao criar o URI de redirecionamento. Quando você configura seu aplicativo no provedor de identidade, precisa especificar o URI de redirecionamento. Os pontos de URI de redirecionamento para o Azure AD B2C, https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp. Se você especificar true, precisará adicionar um URI de redirecionamento a cada política que você usar. Por exemplo: https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/{policy-name}/oauth2/authresp.
MarkAsFailureOnStatusCode5xx Não Indica se uma solicitação para um serviço externo deverá ser marcada como uma falha se o código de status Http estiver no intervalo 5xx. O padrão é false.
DiscoverMetadataByTokenIssuer Não Indica se os metadados OIDC devem ser descobertos usando o emissor no token JWT. Se você precisar criar a URL do ponto de extremidade de metadados com base no emissor, defina-o como true.
IncludeClaimResolvingInClaimsHandling Não Em declarações de entrada e saída, especifica se a resolução de declarações está incluída no perfil técnico. Valores possíveis: true ou false (padrão). Se você quiser usar um resolvedor de declarações no perfil técnico, defina como true.
token_endpoint_auth_method Não Especifica como Azure AD B2C envia o cabeçalho de autenticação para o ponto de extremidade do token. Valores possíveis: client_secret_post (padrão) e client_secret_basic, private_key_jwt. Para obter mais informações, confira a seção autenticação de cliente do OpenID Connect.
token_signing_algorithm Não Especifica o algoritmo de assinatura a ser usado quando token_endpoint_auth_method é definido como private_key_jwt. Valores possíveis: RS256 (padrão) ou RS512.
SingleLogoutEnabled Não Indica se, durante a entrada, o perfil técnico tenta sair de provedores de identidade federada. Para obter mais informações, consulte Saída da sessão do Azure AD B2C. Valores possíveis: true (padrão) ou false.
ReadBodyClaimsOnIdpRedirect Não Defina como true para ler declarações do corpo da resposta no redirecionamento do provedor de identidade. Esses metadados são usados com o Apple ID, em que as declarações retornam no payload de resposta. 
<Metadata>
  <Item Key="ProviderName">https://login.live.com</Item>
  <Item Key="METADATA">https://login.live.com/.well-known/openid-configuration</Item>
  <Item Key="response_types">code</Item>
  <Item Key="response_mode">form_post</Item>
  <Item Key="scope">openid profile email</Item>
  <Item Key="HttpBinding">POST</Item>
  <Item Key="UsePolicyInRedirectUri">false</Item>
  <Item Key="client_id">Your Microsoft application client ID</Item>
</Metadata>

Elementos da interface do usuário

As configurações a seguir podem ser usadas para configurar a mensagem de erro exibida após a falha. Os metadados devem ser configurados no perfil técnico do OpenID Connect. A mensagem de erro pode ser localizada.

Atributo Obrigatório Descrição
UserMessageIfClaimsPrincipalDoesNotExist Não A mensagem a exibir ao usuário se uma conta com o nome de usuário informado não for encontrada no diretório.
UserMessageIfInvalidPassword Não A mensagem a exibir ao usuário se a senha estiver incorreta.
UserMessageIfOldPasswordUsed Não A mensagem a exibir ao usuário se uma senha antiga for usada.

Chaves criptográficas

O elemento CryptographicKeys contém o seguinte atributo:

Atributo Obrigatório Descrição
client_secret Sim O segredo do cliente do aplicativo do provedor de identidade. Essa chave de criptografia será necessária somente se os metadados response_types estiverem definidos como code e token_endpoint_auth_method como client_secret_post ou client_secret_basic. Nesse caso, o Azure AD B2C faz outra chamada para trocar o código de autorização para um token de acesso. Se os metadados forem definidos como id_token, você poderá omitir a chave de criptografia.
assertion_signing_key Sim A chave privada RSA que será usada para assinar a instrução de declaração do cliente. Essa chave de criptografia será necessária somente se os metadados token_endpoint_auth_method forem configurados como private_key_jwt.

URI de redirecionamento

Ao configurar o URI de redirecionamento do seu provedor de identidade, insira https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp. Não se esqueça de substituir {your-tenant-name} pelo nome do locatário. O URI de redirecionamento deve ser todo em letras minúsculas.

Exemplos: