Configurar o Azure Active Directory B2C com Bluink eID-Me para verificação de identidade
Antes de começar
O Azure Active Directory B2C (Azure AD B2C) tem dois métodos para definir a interação dos utilizadores com aplicações: fluxos de utilizador predefinidos ou políticas personalizadas configuráveis. As políticas personalizadas abordam cenários complexos. Para a maioria dos cenários, recomendamos fluxos de utilizador. Veja Descrição geral dos fluxos de utilizador e das políticas personalizadas
Integrar Azure AD autenticação B2C com eID-Me
Saiba como integrar Azure AD autenticação B2C com Bluink eID-Me, uma solução de verificação de identidade e identidade digital descentralizada para cidadãos canadianos. Com o eID-Me, Azure AD inquilinos B2C verificar a identidade do utilizador, obter afirmações de identidade de inscrição e início de sessão verificadas. A integração suporta a autenticação multifator e o início de sessão sem palavra-passe com uma identidade digital segura. As organizações podem cumprir os requisitos de Identity Assurance Level (IAL) 2 e Know Your Customer (KYC).
Para saber mais, aceda a bluink.ca: Bluink Ltd
Pré-requisitos
Para começar, precisa do seguinte:
- Uma conta de Entidade Confiadora com eID-Me
- Aceda a bluink.ca para saber mais e pedir uma demonstração
- Uma subscrição do Azure
- Se não tiver uma, obtenha uma conta gratuita do Azure
- Um inquilino Azure AD B2C associado à subscrição do Azure
- Uma versão de avaliação ou produção da Aplicação de ID Digital eID-Me
- Aceda a bluink.ca para Transferir a Aplicação de ID Digital eID-Me
Veja também Tutorial: Criar fluxos de utilizador e políticas personalizadas no Azure AD B2C.
Descrição do cenário
O eID-Me integra-se no Azure AD B2C como um fornecedor de identidade do OpenID Connect (OIDC). Os seguintes componentes incluem a solução eID-Me com Azure AD B2C:
- Azure AD inquilino B2C - configurado como uma entidade confiadora no eID-Me permite que o eID-Me confie num inquilino do Azure AD B2C para inscrição e início de sessão
-
Azure AD aplicação de inquilino B2C – o pressuposto é que os inquilinos precisam de uma aplicação de inquilino Azure AD B2C
- A aplicação recebe afirmações de identidade recebidas pelo Azure AD B2C durante a transação
- Aplicações para smartphones eID-Me - Azure AD os utilizadores do inquilino B2C precisam da aplicação para iOS ou Android
-
Identidades digitais eID-Me emitidas – a partir da verificação de identidades eID-Me
- Os utilizadores recebem uma identidade digital para a carteira digital na aplicação. São necessários documentos de identidade válidos.
As aplicações eID-Me autenticam os utilizadores durante as transações. A autenticação de chave pública X509 fornece MFA sem palavra-passe, utilizando uma chave de assinatura privada na identidade digital eID-Me.
O diagrama seguinte ilustra a verificação de identidades eID-Me, que ocorre fora Azure AD fluxos B2C.
- O utilizador carrega uma selfie para a aplicação de smartphone eID-Me.
- O utilizador analisa e carrega um documento de identificação emitido pelo governo, como passaporte ou carta de condução, para a aplicação de smartphone eID-Me.
- O eID-Me submete dados para o serviço de identidade para verificação.
- É emitida uma identidade digital ao utilizador, que é guardada na aplicação.
O diagrama seguinte ilustra Azure AD integração B2C com eID-Me.
- O utilizador abre a página de início de sessão do Azure AD B2C e inicia sessão ou inscreve-se com um nome de utilizador.
- O utilizador reencaminhado para Azure AD política de início de sessão e inscrição B2C.
- Azure AD B2C redireciona o utilizador para o router de identidade eID-Me com o fluxo de código de autorização OIDC.
- O router envia uma notificação push para a aplicação móvel do utilizador com detalhes do pedido de autenticação e autorização.
- O desafio de autenticação de utilizador é apresentado e, em seguida, é apresentado um pedido de afirmações de identidade.
- A resposta ao desafio vai para o router.
- O router responde ao Azure AD B2C com um resultado de autenticação.
- Azure AD resposta do token de ID B2C vai para a aplicação.
- É concedido ou negado acesso ao utilizador.
Introdução ao eID-Me
Aceda à página bluink.ca Contacte-nos para pedir uma demonstração com o objetivo de configurar um ambiente de teste ou de produção para configurar Azure AD inquilinos B2C como entidade confiadora. Os inquilinos determinam as afirmações de identidade necessárias dos consumidores que se inscrevem no eID-Me.
Configurar uma aplicação no eID-Me
Para configurar a sua aplicação de inquilino como uma entidade confiadora eID-ME no eID-Me, forneça as seguintes informações:
| Propriedade | Descrição |
|---|---|
| Nome | Azure AD B2C ou outro nome de aplicação |
| Domínio | name.onmicrosoft.com |
| URIs de Redirecionamento | https://jwt.ms |
| URLs de Redirecionamento | https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authrespPor exemplo: https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authrespPara um domínio personalizado, introduza https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp. |
| URL da home page da aplicação | Aparece para o utilizador final |
| URL da política de privacidade da aplicação | Aparece para o utilizador final |
Nota
Quando a entidade confiadora estiver configurada, ID-Me fornece um ID de Cliente e um Segredo do Cliente. Tenha em atenção o ID de Cliente e o Segredo do Cliente para configurar o fornecedor de identidade (IdP) no Azure AD B2C.
Adicionar um novo fornecedor de Identidade no Azure AD B2C
Para obter as seguintes instruções, utilize o diretório com o inquilino Azure AD B2C.
- Inicie sessão no portal do Azure como Administrador Global do inquilino Azure AD B2C.
- No menu superior, selecione Diretório + subscrição.
- Selecione o diretório com o inquilino.
- No canto superior esquerdo do portal do Azure, selecione Todos os serviços.
- Procure e selecione Azure AD B2C.
- Navegue paraFornecedores de Identidade doAzure Active Directory B2C> do Dashboard>.
- Selecione Novo Fornecedor do OpenID Connect.
- Selecione Adicionar.
Configurar um fornecedor de identidade
Para configurar um fornecedor de identidade:
- Selecione Tipo> de fornecedor de identidadeOpenID Connect.
- No formulário do fornecedor de identidade, em Nome, introduza eID-Me Sem palavra-passe ou outro nome.
- Em ID de Cliente, introduza o ID de Cliente de eID-Me.
- Em Segredo do Cliente, introduza o Segredo do Cliente de eID-Me.
- Em Âmbito, selecione perfil de e-mail openid.
- Em Tipo de resposta, selecione código.
- Em Modo de resposta, selecione a mensagem de formulário.
- Selecione OK.
- Selecione Mapear as afirmações deste fornecedor de identidade.
- Para O ID de Utilizador, utilize sub.
- Em Nome a apresentar, utilize o nome.
- Para Nome especificado, utilize given_name.
- Para Apelido, utilize family_name.
- Para Email, utilize o e-mail.
- Selecione Guardar.
Configurar a autenticação multifator
O eID-Me é um autenticador multifator, pelo que a configuração da autenticação multifator de fluxo de utilizador não é necessária.
Criar uma política de fluxo de utilizador
Para obter as seguintes instruções, eID-Me aparece como um novo fornecedor de identidade OIDC em fornecedores de identidade B2C.
- No Azure AD inquilino B2C, em Políticas, selecione Fluxos de utilizador.
- Selecione Novo fluxo de utilizador.
- Selecione Inscrever-se e inicie sessão na>Criação da Versão>.
- Introduza um Nome de política.
- Em Fornecedores de identidade, selecione o fornecedor de identidade eID-Me criado.
- Para Contas Locais, selecione Nenhuma. A seleção desativa a autenticação por e-mail e palavra-passe.
- Selecione Executar fluxo de utilizador.
- Introduza um URL de Resposta, como
https://jwt.ms. - O browser redireciona para a página de início de sessão eID-Me.
- Introduza o nome da conta do registo de utilizador.
- O utilizador recebe uma notificação push no dispositivo móvel com eID-Me.
- É apresentado um desafio de autenticação.
- O desafio é aceite e o browser redireciona para o URL de resposta.
Nota
O Azure Active Directory B2C (Azure AD B2C) tem dois métodos para definir a interação dos utilizadores com aplicações: fluxos de utilizador predefinidos ou políticas personalizadas configuráveis. As políticas personalizadas abordam cenários complexos. Para a maioria dos cenários, recomendamos fluxos de utilizador. Veja Descrição geral dos fluxos de utilizador e das políticas personalizadas
Criar uma chave de política
Armazene o Segredo do Cliente que registou no inquilino Azure AD B2C. Para obter as seguintes instruções, utilize o diretório com o inquilino Azure AD B2C.
- Inicie sessão no portal do Azure.
- Na barra de ferramentas do portal, selecione Diretórios + subscrições.
- Na página Definições do portal, Diretórios + subscrições, na lista Nome do diretório, localize o Azure AD diretório B2C.
- Selecione Mudar.
- No canto superior esquerdo do portal do Azure, selecione Todos os serviços.
- Procure e selecione Azure AD B2C.
- Na página Descrição geral, selecione Identity Experience Framework.
- Selecione Chaves de Política.
- Selecione Adicionar.
- Em Opções, selecione Manual.
- Introduza um Nome para a chave de política. Por exemplo,
eIDMeClientSecret. O prefixoB2C_1A_é adicionado ao nome da chave. - Em Segredo, introduza o Segredo do Cliente que anotou.
- Em Utilização da chave, selecione Assinatura.
- Selecione Criar.
Configurar o eID-Me como um fornecedor de Identidade
Defina eID-Me como um fornecedor de afirmações para permitir que os utilizadores iniciem sessão com o eID-Me. Azure AD B2C comunica com o mesmo através de um ponto final. O ponto final fornece afirmações utilizadas pelo Azure AD B2C para verificar a autenticação do utilizador com um ID digital no respetivo dispositivo.
Para definir o eID-Me como um fornecedor de afirmações, adicione-o ao elemento ClaimsProvider no ficheiro de extensão de política.
Abra o
TrustFrameworkExtensions.xml.Localize o elemento ClaimsProviders . Se não aparecer, adicione-o sob o elemento raiz.
Adicione um novo ClaimsProvider:
<ClaimsProvider> <Domain>eID-Me</Domain> <DisplayName>eID-Me</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="eID-Me-OIDC"> <!-- The text in the following DisplayName element is shown to the user on the claims provider selection screen. --> <DisplayName>eID-Me for Sign In</DisplayName> <Protocol Name="OpenIdConnect" /> <Metadata> <Item Key="ProviderName">https://eid-me.bluink.ca</Item> <Item Key="METADATA">https://demoeid.bluink.ca/.well-known/openid-configuration</Item> <Item Key="response_types">code</Item> <Item Key="scope">openid email profile</Item> <Item Key="response_mode">form_post</Item> <Item Key="HttpBinding">POST</Item> <Item Key="token_endpoint_auth_method">client_secret_post</Item> <Item Key="client_id">eid_me_rp_client_id</Item> <Item Key="UsePolicyInRedirectUri">false</Item> </Metadata> <CryptographicKeys> <Key Id="client_secret" StorageReferenceId="B2C_1A_eIDMeClientSecret" /> </CryptographicKeys> <InputClaims /> <OutputClaims> <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" /> <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" /> <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" /> <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" /> <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" /> <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" /> <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" /> <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" /> <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" /> <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" /> <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" /> </OutputClaims> <OutputClaimsTransformations> <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" /> <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" /> <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" /> <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" /> </OutputClaimsTransformations> <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" /> </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>Para eid_me_rp_client_id introduza o ID de Cliente da entidade confiadora eID-Me.
Selecione Guardar.
Afirmações de identidade suportadas
Pode adicionar mais afirmações de identidade que o eID-Me suporta.
- Abra o
TrustFrameworksExtension.xml. - Localize o
BuildingBlockselemento .
Nota
Encontre listas de afirmações de identidade eID-Me suportadas no repositório OID com identificadores OIDC em bem conhecidos/openid-configuration.
<BuildingBlocks>
<ClaimsSchema>
<ClaimType Id="IAL">
<DisplayName>Identity Assurance Level</DisplayName>
<DataType>string</DataType>
<DefaultPartnerClaimTypes>
<Protocol Name="OpenIdConnect" PartnerClaimType="identity_assurance_level_achieved" />
</DefaultPartnerClaimTypes>
<AdminHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</AdminHelpText>
<UserHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</UserHelpText>
<UserInputType>Readonly</UserInputType>
</ClaimType>
<ClaimType Id="picture">
<DisplayName>Portrait Photo</DisplayName>
<DataType>string</DataType>
<DefaultPartnerClaimTypes>
<Protocol Name="OpenIdConnect" PartnerClaimType="thumbnail_portrait" />
</DefaultPartnerClaimTypes>
<AdminHelpText>The portrait photo of the user.</AdminHelpText>
<UserHelpText>Your portrait photo.</UserHelpText>
<UserInputType>Readonly</UserInputType>
</ClaimType>
<ClaimType Id="middle_name">
<DisplayName>Portrait Photo</DisplayName>
<DataType>string</DataType>
<DefaultPartnerClaimTypes>
<Protocol Name="OpenIdConnect" PartnerClaimType="middle_name" />
</DefaultPartnerClaimTypes>
<UserHelpText>Your middle name.</UserHelpText>
<UserInputType>TextBox</UserInputType>
</ClaimType>
<ClaimType Id="birthdate">
<DisplayName>Date of Birth</DisplayName>
<DataType>string</DataType>
<DefaultPartnerClaimTypes>
<Protocol Name="OpenIdConnect" PartnerClaimType="birthdate" />
</DefaultPartnerClaimTypes>
<AdminHelpText>The user's date of birth.</AdminHelpText>
<UserHelpText>Your date of birth.</UserHelpText>
<UserInputType>TextBox</UserInputType>
</ClaimType>
<ClaimType Id="gender">
<DisplayName>Gender</DisplayName>
<DataType>string</DataType>
<DefaultPartnerClaimTypes>
<Protocol Name="OpenIdConnect" PartnerClaimType="gender" />
</DefaultPartnerClaimTypes>
<AdminHelpText>The user's gender.</AdminHelpText>
<UserHelpText>Your gender.</UserHelpText>
<UserInputType>TextBox</UserInputType>
</ClaimType>
<ClaimType Id="street_address">
<DisplayName>Locality/City</DisplayName>
<DataType>string</DataType>
<DefaultPartnerClaimTypes>
<Protocol Name="OpenIdConnect" PartnerClaimType="street_address" />
</DefaultPartnerClaimTypes>
<AdminHelpText>The user's full street address, which MAY include house number, street name, post office box.</AdminHelpText>
<UserHelpText>Your street address of residence.</UserHelpText>
<UserInputType>TextBox</UserInputType>
</ClaimType>
<ClaimType Id="locality">
<DisplayName>Locality/City</DisplayName>
<DataType>string</DataType>
<DefaultPartnerClaimTypes>
<Protocol Name="OpenIdConnect" PartnerClaimType="locality" />
</DefaultPartnerClaimTypes>
<AdminHelpText>The user's current city or locality of residence.</AdminHelpText>
<UserHelpText>Your current city or locality of residence.</UserHelpText>
<UserInputType>TextBox</UserInputType>
</ClaimType>
<ClaimType Id="region">
<DisplayName>Province or Territory</DisplayName>
<DataType>string</DataType>
<DefaultPartnerClaimTypes>
<Protocol Name="OpenIdConnect" PartnerClaimType="region" />
</DefaultPartnerClaimTypes>
<AdminHelpText>The user's current province or territory of residence.</AdminHelpText>
<UserHelpText>Your current province or territory of residence.</UserHelpText>
<UserInputType>TextBox</UserInputType>
</ClaimType>
<ClaimType Id="country">
<DisplayName>Country</DisplayName>
<DataType>string</DataType>
<DefaultPartnerClaimTypes>
<Protocol Name="OpenIdConnect" PartnerClaimType="country" />
</DefaultPartnerClaimTypes>
<AdminHelpText>The user's current country of residence.</AdminHelpText>
<UserHelpText>Your current country of residence.</UserHelpText>
<UserInputType>TextBox</UserInputType>
</ClaimType>
<ClaimType Id="dl_number">
<DisplayName>Driver's Licence Number</DisplayName>
<DataType>string</DataType>
<DefaultPartnerClaimTypes>
<Protocol Name="OpenIdConnect" PartnerClaimType="dl_number" />
</DefaultPartnerClaimTypes>
<AdminHelpText>The user's driver's licence number.</AdminHelpText>
<UserHelpText>Your driver's licence number.</UserHelpText>
<UserInputType>TextBox</UserInputType>
</ClaimType>
<ClaimType Id="dl_class">
<DisplayName>Driver's Licence Class</DisplayName>
<DataType>string</DataType>
<DefaultPartnerClaimTypes>
<Protocol Name="OpenIdConnect" PartnerClaimType="dl_class" />
</DefaultPartnerClaimTypes>
<AdminHelpText>The user's driver's licence class.</AdminHelpText>
<UserHelpText>Your driver's licence class.</UserHelpText>
<UserInputType>TextBox</UserInputType>
</ClaimType>
</ClaimsSchema>
Adicionar um percurso de utilizador
Para obter as seguintes instruções, o fornecedor de identidade está configurado, mas não em páginas de início de sessão. Se não tiver um percurso de utilizador personalizado, copie um percurso de utilizador de modelo.
- A partir do pacote de arranque, abra o
TrustFrameworkBase.xmlficheiro. - Localize e copie o conteúdo do elemento UserJourneys que inclui ID=
SignUpOrSignIn. - Abra o
TrustFrameworkExtensions.xml. - Localize o elemento UserJourneys . Se o elemento não aparecer, adicione um.
- Cole o conteúdo do elemento UserJourney como subordinado do elemento UserJourneys .
- Mude o nome do ID de percurso do utilizador, por exemplo, ID=
CustomSignUpSignIn.
Adicionar o fornecedor de identidade a um percurso do utilizador
Adicione o novo fornecedor de identidade ao percurso do utilizador.
- No percurso do utilizador, localize o elemento do passo de orquestração com Type=
CombinedSignInAndSignUpou Type=ClaimsProviderSelection. Normalmente, é o primeiro passo de orquestração. O elemento ClaimsProviderSelections tem uma lista de fornecedores de identidade com os qual os utilizadores iniciam sessão. A ordem dos elementos controla a ordem dos botões de início de sessão que o utilizador vê. - Adicione um elemento ClaimsProviderSelection XML.
- Defina o valor TargetClaimsExchangeId como um nome amigável.
- No passo de orquestração seguinte, adicione um elemento ClaimsExchange .
- Defina o ID para o valor de ID de troca de afirmações de destino.
- Atualize o valor vTechnicalProfileReferenceId para o ID de perfil técnico que criou.
O XML seguinte demonstra sete passos de orquestração do percurso do utilizador com o fornecedor de identidade:
<UserJourney Id="eIDME-SignUpOrSignIn">
<OrchestrationSteps>
<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
<ClaimsProviderSelections>
<ClaimsProviderSelection TargetClaimsExchangeId="eIDMeExchange" />
</ClaimsProviderSelections>
</OrchestrationStep>
<!-- Check if the user has selected to sign in using one of the social providers -->
<OrchestrationStep Order="2" Type="ClaimsExchange">
<Preconditions>
<Precondition Type="ClaimsExist" ExecuteActionsIf="true">
<Value>objectId</Value>
<Action>SkipThisOrchestrationStep</Action>
</Precondition>
</Preconditions>
<ClaimsExchanges>
<ClaimsExchange Id="eIDMeExchange" TechnicalProfileReferenceId="eID-Me-OIDC" />
</ClaimsExchanges>
</OrchestrationStep>
<!-- For social IDP authentication, attempt to find the user account in the directory. -->
<OrchestrationStep Order="3" Type="ClaimsExchange">
<Preconditions>
<Precondition Type="ClaimEquals" ExecuteActionsIf="true">
<Value>authenticationSource</Value>
<Value>localAccountAuthentication</Value>
<Action>SkipThisOrchestrationStep</Action>
</Precondition>
</Preconditions>
<ClaimsExchanges>
<ClaimsExchange Id="AADUserReadUsingAlternativeSecurityId" TechnicalProfileReferenceId="AAD-UserReadUsingAlternativeSecurityId-NoError" />
</ClaimsExchanges>
</OrchestrationStep>
<!-- Show self-asserted page only if the directory does not have the user account already (i.e. we do not have an objectId). -->
<OrchestrationStep Order="4" Type="ClaimsExchange">
<Preconditions>
<Precondition Type="ClaimsExist" ExecuteActionsIf="true">
<Value>objectId</Value>
<Action>SkipThisOrchestrationStep</Action>
</Precondition>
</Preconditions>
<ClaimsExchanges>
<ClaimsExchange Id="SelfAsserted-Social" TechnicalProfileReferenceId="SelfAsserted-Social" />
</ClaimsExchanges>
</OrchestrationStep>
<!-- This step reads any user attributes that we may not have received when authenticating using ESTS so they can be sent in the token. -->
<OrchestrationStep Order="5" Type="ClaimsExchange">
<Preconditions>
<Precondition Type="ClaimEquals" ExecuteActionsIf="true">
<Value>authenticationSource</Value>
<Value>socialIdpAuthentication</Value>
<Action>SkipThisOrchestrationStep</Action>
</Precondition>
</Preconditions>
<ClaimsExchanges>
<ClaimsExchange Id="AADUserReadWithObjectId" TechnicalProfileReferenceId="AAD-UserReadUsingObjectId" />
</ClaimsExchanges>
</OrchestrationStep>
<!-- The previous step (SelfAsserted-Social) could have been skipped if there were no attributes to collect
from the user. So, in that case, create the user in the directory if one does not already exist
(verified using objectId which would be set from the last step if account was created in the directory. -->
<OrchestrationStep Order="6" Type="ClaimsExchange">
<Preconditions>
<Precondition Type="ClaimsExist" ExecuteActionsIf="true">
<Value>objectId</Value>
<Action>SkipThisOrchestrationStep</Action>
</Precondition>
</Preconditions>
<ClaimsExchanges>
<ClaimsExchange Id="AADUserWrite" TechnicalProfileReferenceId="AAD-UserWriteUsingAlternativeSecurityId" />
</ClaimsExchanges>
</OrchestrationStep>
<OrchestrationStep Order="7" Type="SendClaims" CpimIssuerTechnicalProfileReferenceId="JwtIssuer" />
</OrchestrationSteps>
<ClientDefinition ReferenceId="DefaultWeb" />
</UserJourney>
Configurar a política da entidade confiadora
A política da entidade confiadora especifica o percurso do utilizador Azure AD B2C executa. Pode controlar as afirmações transmitidas à sua aplicação. Ajuste o elemento OutputClaims do elemento eID-Me-OIDC-Signup TechnicalProfile. No exemplo seguinte, a aplicação recebe código postal do utilizador, localidade, região, IAL, retrato, nome do meio e data de nascimento. Recebe a afirmação booleana signupConditionsSatisfied , que indica se foi criada uma conta.
<RelyingParty>
<DefaultUserJourney ReferenceId="eIDMe-SignUpOrSignIn" />
<TechnicalProfile Id="PolicyProfile">
<DisplayName>PolicyProfile</DisplayName>
<Protocol Name="OpenIdConnect" />
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="displayName" />
<OutputClaim ClaimTypeReferenceId="givenName" />
<OutputClaim ClaimTypeReferenceId="surname" />
<OutputClaim ClaimTypeReferenceId="email" />
<OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
<OutputClaim ClaimTypeReferenceId="identityProvider" />
<OutputClaim ClaimTypeReferenceId="tenantId" AlwaysUseDefaultValue="true" DefaultValue="{Policy:TenantObjectId}" />
<OutputClaim ClaimTypeReferenceId="postalCode" PartnerClaimType="postal_code" DefaultValue="unknown postal_code" />
<OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
<OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
<OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
<OutputClaim ClaimTypeReferenceId="picture" PartnerClaimType="thumbnail_portrait" DefaultValue="unknown portrait" />
<OutputClaim ClaimTypeReferenceId="middle_name" PartnerClaimType="middle_name" DefaultValue="unknown middle name" />
<OutputClaim ClaimTypeReferenceId="birthdate" PartnerClaimType="birthdate" DefaultValue="unknown DOB" />
<OutputClaim ClaimTypeReferenceId="newUser" PartnerClaimType="signupConditionsSatisfied" DefaultValue="false" />
</OutputClaims>
<SubjectNamingInfo ClaimType="sub" />
</TechnicalProfile>
</RelyingParty>
Carregar a política personalizada
Para obter as seguintes instruções, utilize o diretório com o inquilino Azure AD B2C.
- Inicie sessão no portal do Azure.
- Na barra de ferramentas do portal, selecione Diretórios + subscrições.
- Na página Definições do portal, Diretórios + subscrições, na lista Nome do diretório, localize o diretório Azure AD B2C.
- Selecione Mudar.
- Na portal do Azure, procure e selecione Azure AD B2C.
- Em Políticas, selecione Identity Experience Framework.
- Selecione Carregar Política Personalizada.
- Carregue os dois ficheiros de política que alterou pela seguinte ordem:
- A política de extensão, por exemplo
TrustFrameworkBase.xml - A política da entidade confiadora, por exemplo
SignUp.xml
Testar a política personalizada
- Selecione a política da entidade confiadora, por exemplo
B2C_1A_signup. - Em Aplicação, selecione uma aplicação Web que tenha registado.
- O URL de Resposta é
https://jwt.ms. - Selecione Executar agora.
- A política de inscrição invoca eID-Me.
- Para iniciar sessão, selecione eID-Me.
- O browser redireciona para
https://jwt.ms. - Os conteúdos do token devolvidos pelo Azure AD B2C são apresentados.
Saiba mais: Tutorial: Registar uma aplicação Web no Azure AD B2C
Passos seguintes
- Azure AD descrição geral da política personalizada B2C
- Tutorial: Criar fluxos de utilizador e políticas personalizadas no Azure Active Directory B2C
- Um Modelo de Política Personalizada e uma aplicação Web de exemplo ASP.NET Core para integrar o eID-Me no Azure AD B2C
- Aceda a bluink.ca do Azure AD Guia de Integração de Verificação do ID B2C | eID-Me