Определение технического профиля OpenId Connect в настраиваемой политике Azure Active Directory B2C
Примечание
В Azure Active Directory B2C пользовательские политики преимущественно предназначены для выполнения сложных сценариев. В большинстве случаев рекомендуется использовать встроенные пользовательские потоки. Ознакомьтесь со статьей Начало работы с настраиваемыми политиками в Azure Active Directory B2C, чтобы узнать о базовом пакете настраиваемых политик, если еще не сделали этого.
Azure Active Directory B2C (Azure AD B2C) поддерживает протокол OpenId Connect для поставщиков удостоверений. OpenID Connect 1.0 определяет уровень идентификации поверх OAuth 2.0 и представляет собой оптимизированный протокол среди современных протоколов аутентификации. С помощью технического профиля OpenID Connect можно создать федерацию с поставщиком удостоверений на основе OpenID Connect, например с Microsoft Entra id. Федерация с поставщиком удостоверений позволяет пользователям входить в систему, используя имеющиеся удостоверения социальных сетей или компаний.
Протокол
Атрибуту Name элемента Protocol необходимо присвоить значение OpenIdConnect. Например, OpenIdConnect — это протокол для технического профиля MSA-OIDC.
<TechnicalProfile Id="MSA-OIDC">
<DisplayName>Microsoft Account</DisplayName>
<Protocol Name="OpenIdConnect" />
...
Входящие утверждения
Элементы InputClaims и InputClaimsTransformations не являются обязательными. Но при необходимости можно отправлять дополнительные параметры поставщику удостоверений. В следующем примере к запросу авторизации добавляется параметр строки запроса domain_hint со значением contoso.com.
<InputClaims>
<InputClaim ClaimTypeReferenceId="domain_hint" DefaultValue="contoso.com" />
</InputClaims>
Исходящие утверждения
Элемент OutputClaims содержит список утверждений, возвращаемых поставщиком удостоверений OpenID Connect. Возможно, потребуется сопоставить имя утверждения, определенное в вашей политике, с именем, определенным у поставщика удостоверений. Вы также можете добавить утверждения, которые не возвращаются поставщиком удостоверений, установив атрибут DefaultValue.
Элемент OutputClaimsTransformations может содержать коллекцию элементов OutputClaimsTransformation, которые используются для изменения исходящих утверждений или создания новых.
В этом примере показаны утверждения, возвращаемые поставщиком удостоверений Microsoft Account:
- Утверждение sub, которое сопоставляется с утверждением issuerUserId.
- утверждение name, которое сопоставляется с утверждением displayName;
- утверждение email без сопоставления с именем.
Технический профиль также возвращает утверждения, которые не возвращаются поставщиком удостоверений:
- Утверждение IdentityProvider, содержащее имя поставщика удостоверений.
- утверждение AuthenticationSource со значением по умолчанию socialIdpAuthentication.
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="live.com" />
<OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
<OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
<OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
<OutputClaim ClaimTypeReferenceId="email" />
</OutputClaims>
Метаданные
| attribute | Обязательно | Описание |
|---|---|---|
| client_id | Да | Идентификатор приложения поставщика удостоверений. |
| IdTokenAudience | Нет | Аудитория id_token. Если этот параметр задан, Azure AD B2C проверяет, содержится ли утверждение aud в маркере, которые возвращает поставщик удостоверений, и соответствует ли утверждению, указанному в метаданных IdTokenAudience. |
| METADATA | Да | URL-адрес, указывающий на документ конфигурации поставщика удостоверений OpenID Connect, который также известен как конечная точка конфигурации OpenID. URL-адрес может содержать выражение {tenant}, которое заменяется именем клиента. |
| authorization_endpoint | Нет | URL-адрес, указывающий на конечную точку авторизации конфигурации поставщика удостоверений OpenID Connect. Значение метаданных authorization_endpoint имеет приоритет над значением authorization_endpoint, указанным в известной конечной точке конфигурации OpenID. URL-адрес может содержать выражение {tenant}, которое заменяется именем клиента. |
| end_session_endpoint | Нет | URL-адрес конечной точки завершения сеанса. Значение метаданных end_session_endpoint имеет приоритет над значением end_session_endpoint, указанным в известной конечной точке конфигурации OpenID. |
| issuer | Нет | Уникальный идентификатор поставщика удостоверений OpenID Connect. Значение метаданных issuer имеет приоритет над значением issuer, указанным в известной конечной точке конфигурации OpenID. Если этот параметр задан, Azure AD B2C проверяет, содержится ли утверждение iss в маркере, который возвращает поставщик удостоверений, и соответствует ли оно утверждению, указанному в метаданных issuer. |
| ProviderName | Нет | Имя поставщика удостоверений. |
| response_types | Нет | Тип ответа в соответствии со спецификацией OpenID Connect Core 1.0. Возможные значения: id_token, code или token. |
| response_mode | Нет | Метод, который использует поставщик удостоверений, чтобы отправить результат обратно в Azure AD B2C. Возможные значения: query, form_post (по умолчанию) или fragment. |
| область | Нет | Область запроса, определенная в соответствии со спецификацией OpenID Connect Core 1.0. Возможные значения: openid, profile и email. |
| HttpBinding | Нет | Ожидаемая привязка HTTP для маркера доступа и конечных точек маркера утверждений. Возможные значения: GET или POST. |
| ValidTokenIssuerPrefixes | Нет | Ключ, который можно использовать для входа в каждый из клиентов при использовании поставщика удостоверений с несколькими клиентами, например идентификатор Microsoft Entra. |
| UsePolicyInRedirectUri | Нет | Указывает, следует ли использовать политику при создании универсального кода ресурса (URI) перенаправления. При настройке приложения в поставщике удостоверений необходимо указать URI перенаправления. URI перенаправления указывает на Azure AD B2C, https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp. Если вы указываете true, необходимо добавить URI перенаправления для каждой используемой политики. Например: https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/{policy-name}/oauth2/authresp. |
| MarkAsFailureOnStatusCode5xx | Нет | Указывает, должен ли запрос внешней службы помечаться как запрос, завершившийся сбоем, если код состояния Http находится в диапазоне 5xx. Значение по умолчанию — false. |
| DiscoverMetadataByTokenIssuer | Нет | Указывает, следует ли обнаруживать метаданные OIDC с помощью издателя в токене JWT. Если вам нужно создать URL-адрес конечной точки метаданных на основе издателя, установите для этого параметра значение true. |
| IncludeClaimResolvingInClaimsHandling | Нет | Для входящих и исходящих утверждений указывает, включено ли разрешение утверждений в технический профиль. Возможные значения: true или false (по умолчанию). Если вы хотите использовать сопоставитель утверждений в техническом профиле, задайте для этого параметра значение true. |
| token_endpoint_auth_method | Нет | Указывает, как Azure AD B2C отправляет заголовок проверки подлинности в конечную точку маркера. Возможные значения: client_secret_post (по умолчанию) и client_secret_basic, private_key_jwt. Дополнительные сведения см. в документе о проверке подлинности клиента OpenID Connect. |
| token_signing_algorithm | Нет | Указывает алгоритм подписания для использования, когда для параметра token_endpoint_auth_method задано значение private_key_jwt. Возможные значения: RS256 (по умолчанию) или RS512. |
| SingleLogoutEnabled | Нет | Указывает, будет ли технический профиль при входе пытаться выйти из федеративных поставщиков удостоверений. Дополнительные сведения см. в разделе Выход из сеанса Azure AD B2C. Возможные значения: true (по умолчанию) и false. |
| ReadBodyClaimsOnIdpRedirect | Нет | Задайте значение true, чтобы читать утверждения из текста ответа при перенаправлении поставщика удостоверений. Эти метаданные используются с идентификатором Apple ID, если утверждения возвращаются в полезных данных ответа. |
<Metadata>
<Item Key="ProviderName">https://login.live.com</Item>
<Item Key="METADATA">https://login.live.com/.well-known/openid-configuration</Item>
<Item Key="response_types">code</Item>
<Item Key="response_mode">form_post</Item>
<Item Key="scope">openid profile email</Item>
<Item Key="HttpBinding">POST</Item>
<Item Key="UsePolicyInRedirectUri">false</Item>
<Item Key="client_id">Your Microsoft application client ID</Item>
</Metadata>
Элементы пользовательского интерфейса
Параметры ниже можно использовать для настройки сообщения об ошибке, отображаемого при сбое. Метаданные должны быть настроены в техническом профиле OpenID Connect. Сообщения об ошибках можно локализовать.
| attribute | Обязательно | Описание |
|---|---|---|
| UserMessageIfClaimsPrincipalDoesNotExist | Нет | Сообщение, отображаемое пользователю, если учетная запись с указанным именем пользователя не найдена в каталоге. |
| UserMessageIfInvalidPassword | Нет | Сообщение, отображаемое пользователю, если пароль неправильный. |
| UserMessageIfOldPasswordUsed | Нет | Сообщение, отображаемое пользователю, если использован старый пароль. |
Криптографические ключи
Элемент CryptographicKeys содержит следующий атрибут:
| attribute | Обязательно | Описание |
|---|---|---|
| client_secret | Да | Секрет клиента приложения поставщика удостоверений. Этот криптографический ключ необходим, только если для метаданных response_types задано значение code, а для token_endpoint_auth_method — client_secret_post или client_secret_basic. В этом случае Azure AD B2C выполняет другой вызов для обмена кода авторизации на маркер доступа. Если для метаданных задано значение id_token, криптографический ключ можно не указывать. |
| assertion_signing_key | Да | Закрытый ключ RSA, который будет использоваться для подписи утверждения клиента. Этот криптографический ключ необходим, только если для метаданных token_endpoint_auth_method задано значение private_key_jwt. |
URI перенаправления
При настройке URI перенаправления поставщика удостоверений введите https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp. Обязательно замените {your-tenant-name} именем своего клиента. URI перенаправления должен содержать только строчные символы.
Примеры:
- Azure Active Directory B2C. Добавление учетной записи Майкрософт (MSA) в качестве поставщика удостоверений с помощью пользовательских политик
- Вход с помощью учетных записей Microsoft Entra
- Разрешить пользователям входить в мультитенантный поставщик удостоверений Microsoft Entra с помощью настраиваемых политик