Compartilhar via

Tutorial: Criar fluxos de usuário e políticas personalizadas no Azure Active Directory B2C

Importante

A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais em nossas perguntas frequentes.

Antes de começar, use o seletor Escolha um tipo de política na parte superior dessa página para escolher o tipo de política que você está configurando. O Azure Active Directory B2C oferece dois métodos para definir como os usuários interagem com seus aplicativos: por meio de fluxos de usuários predefinidos ou por meio de políticas personalizadas totalmente configuráveis. As etapas necessárias neste artigo são diferentes para cada método.

Em seus aplicativos, você pode ter fluxos de usuário que permitem que os usuários se inscrevam, entrem ou gerenciem seu perfil. Você pode criar vários fluxos de usuário de diferentes tipos em seu locatário do Azure AD B2C (Azure Active Directory B2C) e usá-los em seus aplicativos conforme necessário. Os fluxos de usuário podem ser reutilizados entre aplicativos.

Um fluxo de usuário permite determinar como os usuários interagem com seu aplicativo quando eles fazem coisas como entrar, se inscrever, editar um perfil ou redefinir uma senha. Neste artigo, você aprenderá a:

As políticas personalizadas são arquivos de configuração que definem o comportamento do locatário do Azure AD B2C (Azure Active Directory B2C). Neste artigo, você aprenderá a:

  • Criar um fluxo de inscrição e entrada do usuário
  • Habilitar a redefinição de senha de autoatendimento
  • Criar um fluxo de usuário de edição de perfil

Importante

Alteramos a maneira como referenciamos as versões de fluxo do usuário. Anteriormente, oferecemos versões V1 (prontas para produção) e versões V1.1 e V2 (versão prévia). Agora, consolidamos os fluxos de usuário em duas versões: fluxos de usuário Recomendados com os recursos mais recentes e fluxos de usuário da versão Padrão (Herdado). Todos os fluxos de usuário de versão prévia herdada (V1.1 e V2) foram preteridos. Para obter detalhes, consulte as versões de fluxo de usuário no Azure AD B2C. Essas alterações se aplicam somente à nuvem pública do Azure. Outros ambientes continuarão a usar o controle de versão de fluxo de usuário herdado.

Pré-requisitos

Criar um fluxo de inscrição e entrada do usuário

O fluxo de usuário de inscrição e entrada manipula ambas as experiências com uma única configuração. Os usuários do aplicativo são conduzidos pelo caminho certo, dependendo do contexto. Para criar um fluxo de inscrição e login de usuário:

  1. Entre no portal do Azure.

  2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas.

  3. No portal do Azure, pesquise e selecione Azure AD B2C.

  4. Em Políticas, selecione Fluxos de usuário e selecione Novo fluxo de usuário.

    Captura de tela da página Fluxos de usuário do portal do Azure com o botão Novo fluxo de usuário realçado.

  5. Na página Criar um fluxo de usuário, selecione o fluxo do usuário Inscrever-se e entrar.

    Captura de tela da página Selecionar um fluxo de usuário no portal do Azure com o fluxo de inscrição e entrada realçado.

  6. Em Selecionar uma versão, selecione Recomendado e, em seguida, selecione Criar. (Saiba mais sobre as versões de fluxo do usuário.)

    Criar página de fluxo do usuário no portal do Azure com propriedades realçadas

  7. Insira um Nome para o fluxo de usuário. Por exemplo, signupsignin1.

  8. Para provedores de identidade, selecione Inscrição por email.

  9. Para atributos de usuário e declarações de token, escolha as declarações e os atributos que você deseja coletar e enviar do usuário durante a inscrição. Por exemplo, selecione Mostrar mais e escolha atributos e declarações para País/Região, Nome de Exibição e Cep. Selecione OK.

    Captura de tela da página de seleção de atributos e declarações do portal do Azure com três declarações selecionadas e realçadas.

  10. Selecione Criar para adicionar o fluxo do usuário. Um prefixo de B2C_1_ é anexado automaticamente ao nome que você inseriu anteriormente. Por exemplo, B2C_1_signupsignin1.

Testar o fluxo de usuário

  1. Na página Fluxos de usuário, selecione o fluxo de usuário que você acabou de criar para abrir sua página de visão geral.

  2. Na parte superior da página de visão geral do fluxo do usuário, selecione Executar fluxo do usuário. Um painel será aberto no lado direito da página.

  3. Para o Aplicativo, selecione o aplicativo Web que você deseja testar, como aquele chamado webapp1. A URL de resposta deve mostrar https://jwt.ms.

  4. Selecione Executar fluxo do usuário e selecione Inscrever-se agora.

    Uma captura de tela da página Executar fluxo do usuário no portal do Azure com o botão Executar fluxo do usuário, a caixa de texto Aplicativo e a caixa de texto URL de resposta realçadas.

  5. Insira um endereço de email válido, selecione Enviar código de verificação, insira o código de verificação recebido e selecione Verificar código.

  6. Insira uma nova senha e confirme-a.

  7. Selecione seu país e região, insira o nome que você deseja exibir, insira um código postal e selecione Criar. O token é retornado para https://jwt.ms e deve ser visualizado por você no navegador.

  8. Agora você pode executar o fluxo de usuário novamente e poderá entrar com a conta que acabou de criar. O token retornado inclui as declarações que você selecionou de país/região, nome e CEP.

Observação

No momento, a experiência "Executar fluxo de usuário" não é compatível com o tipo de URL de resposta SPA que usa o fluxo de código de autorização. Para usar a experiência "Executar fluxo de usuário" com esses tipos de aplicativos, registre uma URL de resposta do tipo "Web" e habilite o fluxo implícito.

Habilitar a redefinição de senha de autoatendimento

Para habilitar a redefinição de senha automática para o fluxo de inscrição ou login do usuário:

  1. Na página Fluxos de usuário , selecione o fluxo de usuário de inscrição ou entrada que você acabou de criar.
  2. Em Configurações no menu à esquerda, selecione Propriedades.
  3. Em Configuração de senha, selecione Redefinição de senha de autoatendimento.
  4. Clique em Salvar.

Testar o fluxo de usuário

  1. Na página Fluxos de usuário, selecione o fluxo de usuário que você acabou de criar para abrir sua página de visão geral e, em seguida, selecione Executar fluxo de usuário.
  2. Para o Aplicativo, selecione o aplicativo Web que você deseja testar, como aquele chamado webapp1. A URL de resposta deve mostrar https://jwt.ms.
  3. Selecione Executar fluxo do usuário.
  4. Na página de inscrição ou entrada, selecione Esqueceu sua senha?.
  5. Verifique o endereço de email da conta que você criou anteriormente e selecione Continuar.
  6. Agora você tem a oportunidade de alterar a senha do usuário. Altere a senha e selecione Continuar. O token é retornado para https://jwt.ms e deve ser exibido no navegador.

Criar um fluxo de usuário de edição de perfil

Se você quiser permitir que os usuários editem seu perfil em seu aplicativo, use um fluxo de usuário de edição de perfil.

  1. No menu da página de visão geral do locatário do Azure AD B2C, selecione Fluxos de usuário e selecione Novo fluxo de usuário.
  2. Na página Criar um fluxo de usuário , selecione o fluxo de usuário de edição de perfil .
  3. Em Selecionar uma versão, selecione Recomendado e, em seguida, selecione Criar.
  4. Insira um Nome para o fluxo de usuário. Por exemplo, profileediting1.
  5. Para provedores de identidade, em contas locais, selecione Inscrição por email.
  6. Para atributos de usuário, escolha os atributos que você deseja que o cliente possa editar em seu perfil. Por exemplo, selecione Mostrar mais e escolha atributos e declarações para nome de exibição e cargo. Selecione OK.
  7. Selecione Criar para adicionar o fluxo do usuário. Um prefixo de B2C_1_ é acrescentado automaticamente ao nome.

Testar o fluxo de usuário

  1. Selecione o fluxo de usuário que você criou para abrir sua página de visão geral.
  2. Na parte superior da página de visão geral do fluxo do usuário, selecione Executar fluxo do usuário. Um painel será aberto no lado direito da página.
  3. Para o Aplicativo, selecione o aplicativo Web que você deseja testar, como aquele chamado webapp1. A URL de resposta deve mostrar https://jwt.ms.
  4. Selecione Executar fluxo de usuário e entre com a conta que você criou anteriormente.
  5. Agora você tem a oportunidade de alterar o nome de exibição e o cargo para o usuário. Selecione Continuar. O token é retornado para https://jwt.ms e deve ser exibido no navegador.

Dica

Este artigo explica como configurar seu locatário manualmente. Você pode automatizar todo o processo a partir deste artigo. A automação implantará o pacote inicial SocialAndLocalAccountsWithMFA do Azure AD B2C, que fornecerá percursos de Inscrição e Entrada, Redefinição de Senha e Edição de Perfil. Para automatizar o passo a passo abaixo, visite o Aplicativo de Instalação do IEF e siga as instruções.

Adicionar chaves de assinatura e criptografia para aplicativos do Identity Experience Framework

  1. Entre no portal do Azure.
  2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas.
  3. No portal do Azure, pesquise e selecione Azure AD B2C.
  4. Na página de visão geral, em Políticas, selecione Identity Experience Framework.

Criar a chave de assinatura

  1. Selecione Chaves de Política e, em seguida, selecione Adicionar.
  2. Para Opções, escolha Generate.
  3. Em Nome, insira TokenSigningKeyContainer. O prefixo B2C_1A_ pode ser adicionado automaticamente.
  4. Para o tipo chave, selecione RSA.
  5. Para Uso de chave, selecione Assinatura.
  6. Selecione Criar.

Criar a chave de criptografia

  1. Selecione Chaves de Política e, em seguida, selecione Adicionar.
  2. Para Opções, escolha Generate.
  3. Em Nome, insira TokenEncryptionKeyContainer. O prefixo B2C_1A_ pode ser adicionado automaticamente.
  4. Para o tipo chave, selecione RSA.
  5. Para uso de chave, selecione Criptografia.
  6. Selecione Criar.

Registrar aplicativos do Identity Experience Framework

O Azure AD B2C exige que você registre dois aplicativos que ele usa para inscrever e conectar usuários com contas locais: IdentityExperienceFramework, uma API Web e ProxyIdentityExperienceFramework, um aplicativo nativo com permissão delegada para o aplicativo IdentityExperienceFramework. Seus usuários podem se inscrever com um endereço de email ou nome de usuário e uma senha para acessar aplicativos registrados em seu locatário, o que cria uma "conta local". As contas locais existem apenas em seu locatário do Azure AD B2C.

Você precisará registrar esses dois aplicativos em seu locatário do Azure AD B2C apenas uma vez.

Registrar o aplicativo IdentityExperienceFramework

Para registrar um aplicativo em seu locatário do Azure AD B2C, você pode usar a experiência de registros de aplicativo .

  1. Escolha Registros de aplicativo e Novo registro.
  2. Para Nome, insira IdentityExperienceFramework.
  3. Em Tipos de contas com suporte, selecione Contas somente neste diretório organizacional.
  4. Em URI de Redirecionamento, selecione Web e, em seguida, insira https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com, onde your-tenant-name está seu nome de domínio de locatário do Azure AD B2C.
  5. Em Permissões, marque a caixa de seleção Conceder consentimento do administrador para as permissões openid e offline_access.
  6. Selecione Registrar.
  7. Registre a ID do aplicativo (cliente) para uso em uma etapa posterior.

Em seguida, exponha a API adicionando um escopo:

  1. No menu à esquerda, em Gerenciar, selecione Expor uma API.
  2. Selecione Adicionar um escopo e, em seguida, selecione Salvar e continuar a aceitar o URI de ID do aplicativo padrão.
  3. Insira os seguintes valores para criar um escopo que permita a execução de política personalizada em seu locatário do Azure AD B2C:
    • Nome do escopo: user_impersonation
    • Nome de exibição de consentimento do administrador: Access IdentityExperienceFramework
    • Descrição do consentimento do administrador: Allow the application to access IdentityExperienceFramework on behalf of the signed-in user.
  4. Selecionar Adicionar escopo

Registrar o aplicativo ProxyIdentityExperienceFramework

  1. Escolha Registros de aplicativo e Novo registro.
  2. Para Nome, insira ProxyIdentityExperienceFramework.
  3. Em Tipos de contas com suporte, selecione Contas somente neste diretório organizacional.
  4. Em URI de Redirecionamento, use a lista suspensa para selecionar Cliente Público/Nativo (móvel e área de trabalho).
  5. Para URI de Redirecionamento, insira myapp://auth.
  6. Em Permissões, marque a caixa de seleção Conceder consentimento do administrador para as permissões openid e offline_access.
  7. Selecione Registrar.
  8. Registre a ID do aplicativo (cliente) para uso em uma etapa posterior.

Em seguida, especifique que o aplicativo deve ser tratado como um cliente público:

  1. No menu à esquerda, em Gerenciar, selecione Autenticação.
  2. Em Configurações avançadas, na seção Permitir fluxos de clientes públicos , defina Habilitar os seguintes fluxos móveis e de área de trabalho como Sim.
  3. Clique em Salvar.
  4. Verifique se "isFallbackPublicClient": true está definido no Manifesto do Aplicativo do Microsoft Graph(Novo):
    1. No menu à esquerda, em Gerenciar, selecione Manifesto para abrir o Manifesto do Aplicativo Microsoft Graph(Novo)
    2. Alterne da guia Manifesto do Aplicativo do Microsoft Graph (Novo) para a guia Manifesto do Aplicativo Graph do AAD (Será Preterido em Breve).
    3. Encontre a chave isFallbackPublicClient e verifique se o valor dela está definido como true.

Agora, conceda permissões ao escopo da API exposto anteriormente no registro IdentityExperienceFramework :

  1. No menu à esquerda, em Gerenciar, selecione permissões de API.
  2. Em Permissões Configuradas, selecione Adicionar uma permissão.
  3. Selecione as APIs que minha organização usa a guia e selecione o aplicativo IdentityExperienceFramework .
  4. Em Permissão, selecione o escopo user_impersonation definido anteriormente.
  5. Selecione Adicionar Permissões. Conforme as instruções, aguarde alguns minutos antes de seguir para a próxima etapa.
  6. Selecione Fornecer consentimento do administrador para <nome do seu locatário>.
  7. Selecione Sim.
  8. Selecione Atualizar e verifique se "Concedido para..." aparece em Status para o escopo.

Pacote de inicialização de política personalizado

As políticas personalizadas são um conjunto de arquivos XML que você carrega no locatário do Azure AD B2C para definir perfis técnicos e percursos do usuário. Fornecemos pacotes iniciais com várias políticas pré-criadas para que você comece rapidamente. Cada um desses pacotes inicial contém o menor número de perfis técnicos e percursos do usuário necessários para alcançar os cenários descritos. Para obter um guia mais aprofundado sobre as políticas personalizadas do Azure AD B2C, siga nossa série de guias de instrução sobre políticas personalizadas.

  • LocalAccounts – Habilita apenas o uso de contas locais.
  • SocialAccounts – Habilita apenas o uso de contas sociais (ou federadas).
  • SocialAndLocalAccounts – Habilita o uso de contas locais e sociais.
  • SocialAndLocalAccountsWithMFA – Habilita opções de autenticação social, local e multifator.

Cada pacote inicial contém:

  • Arquivo base – poucas modificações são necessárias para a base. Exemplo: TrustFrameworkBase.xml
  • Arquivo de localização – Esse arquivo é onde as alterações de localização são feitas. Exemplo: TrustFrameworkLocalization.xml
  • Arquivo de extensão – Esse arquivo é onde a maioria das alterações de configuração são feitas. Exemplo: TrustFrameworkExtensions.xml
  • Arquivos de terceira parte confiável – são os arquivos específicos da tarefa chamados pelo aplicativo. Exemplos: SignUpOrSignin.xml, ProfileEdit.xml, PasswordReset.xml

Neste artigo, você edita os arquivos de política personalizada XML no pacote inicial SocialAndLocalAccounts . Se você precisar de um editor XML, experimente o Visual Studio Code, um editor de plataforma cruzada leve.

Obter o pacote inicial

Obtenha os pacotes de inicialização de políticas personalizadas no GitHub. Em seguida, atualize os arquivos XML no pacote de inicialização de SocialAndLocalAccounts com o nome de seu locatário do Azure AD B2C.

  1. Baixe o arquivo .zip ou clone o repositório:

    git clone https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack

  2. Em todos os arquivos no diretório SocialAndLocalAccounts , substitua a cadeia de caracteres yourtenant pelo nome do locatário do Azure AD B2C.

    Por exemplo, se o nome do seu locatário B2C for contosotenant, todas as instâncias de yourtenant.onmicrosoft.com se tornarão contosotenant.onmicrosoft.com.

Adicionar IDs de aplicativo à política personalizada

Adicione as IDs do aplicativo ao arquivo de extensões TrustFrameworkExtensions.xml.

  1. Abra SocialAndLocalAccounts/TrustFrameworkExtensions.xml e localize o elemento <TechnicalProfile Id="login-NonInteractive">.
  2. Substitua ambas as instâncias de IdentityExperienceFrameworkAppId pelo ID do aplicativo IdentityExperienceFramework que você criou anteriormente.
  3. Substitua ambas as instâncias de ProxyIdentityExperienceFrameworkAppId pelo ID do aplicativo ProxyIdentityExperienceFramework que você criou anteriormente.
  4. Salve o arquivo.

Adicionar o Facebook como um provedor de identidade

O pacote inicial SocialAndLocalAccounts inclui entrada social no Facebook. O Facebook não é necessário para usar políticas personalizadas, mas a usamos aqui para demonstrar como você pode habilitar o logon social federado em uma política personalizada. Se você não precisar habilitar o logon social federado, use o pacote inicial LocalAccounts e pule para a seção Carregar as políticas .

Criar aplicativo do Facebook

Use as etapas descritas em Criar um aplicativo do Facebook para obter a ID do Aplicativo do Facebook e o Segredo do Aplicativo. Pule os pré-requisitos e o restante das etapas no artigo Configurar inscrição e login com uma conta do Facebook.

Criar a chave do Facebook

Adicione o Segredo do Aplicativo do seu aplicativo Facebook como uma chave de política. Você pode usar o Segredo do Aplicativo que você criou como um dos pré-requisitos deste artigo.

  1. Entre no portal do Azure.
  2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas.
  3. No portal do Azure, pesquise e selecione Azure AD B2C.
  4. Na página de visão geral, em Políticas, selecione Identity Experience Framework.
  5. Selecione Chaves de Política e, em seguida, selecione Adicionar.
  6. Para Opções, escolha Manual.
  7. Para Nome, insira FacebookSecret. O prefixo B2C_1A_ pode ser adicionado automaticamente.
  8. Em Segredo, insira o App Secret do seu aplicativo no Facebook obtido em developers.facebook.com. Esse valor é o segredo, não a ID do aplicativo.
  9. Para Uso de chave, selecione Assinatura.
  10. Selecione Criar.

Atualizar TrustFrameworkExtensions.xml no pacote de inicialização da política personalizada

No arquivo SocialAndLocalAccounts/TrustFrameworkExtensions.xml, substitua o valor pela ID do aplicativo do Facebook client_id e salve as alterações.

<TechnicalProfile Id="Facebook-OAUTH">
  <Metadata>
  <!--Replace the value of client_id in this technical profile with the Facebook app ID"-->
    <Item Key="client_id">00000000000000</Item>

Fazer upload das políticas

  1. Selecione o item de menu identity experience framework em seu locatário B2C no portal do Azure.
  2. Selecione Carregar política personalizada.
  3. Nesta ordem, carregue os arquivos de política:
    1. TrustFrameworkBase.xml
    2. TrustFrameworkLocalization.xml
    3. TrustFrameworkExtensions.xml
    4. SignUpOrSignin.xml
    5. ProfileEdit.xml
    6. PasswordReset.xml

À medida que você carrega os arquivos, o Azure adiciona o prefixo B2C_1A_ a cada um.

Dica

Se o editor XML suportar validação, valide os arquivos contra o esquema XML TrustFrameworkPolicy_0.3.0.0.xsd localizado no diretório raiz do pacote inicial. A validação do esquema XML identifica erros antes de carregar.

Teste a política personalizada

  1. Em políticas personalizadas, selecione B2C_1A_signup_signin.
  2. Para selecionar o aplicativo na página de visão geral da política personalizada, selecione o aplicativo Web que você deseja testar, como aquele chamado webapp1.
  3. Verifique se a URL de Resposta é https://jwt.ms.
  4. Selecione Executar agora.
  5. Inscreva-se usando um endereço de email.
  6. Selecione Executar agora novamente.
  7. Entre com a mesma conta para confirmar se você tem a configuração correta.
  8. Selecione Executar agora novamente e selecione o Facebook para entrar com o Facebook e testar a política personalizada.

Próximas etapas

Neste artigo, você aprendeu a:

  • Criar um fluxo de usuário de inscrição e de entrada
  • Criar um fluxo de usuário de edição de perfil
  • Criar um fluxo de usuário de redefinição de senha

Em seguida, saiba como usar o Azure AD B2C para entrar e inscrever usuários em um aplicativo. Siga os aplicativos de exemplo vinculados abaixo:

Você também pode saber mais na Série de Mergulho Profundo da Arquitetura do Azure AD B2C.