Ange omdirigerings-URL:er till b2clogin.com för Azure Active Directory B2C

  • Artikel

När du konfigurerar en identitetsprovider för registrering och inloggning i dina Azure Active Directory B2C-program (Azure AD B2C) måste du ange slutpunkterna för Azure AD B2C-identitetsprovidern. Du bör inte längre referera till login.microsoftonline.com i dina program och API:er för att autentisera användare med Azure AD B2C. Använd i stället b2clogin.com eller en anpassad domän för alla program.

Vilka slutpunkter gäller dessa ändringar för

Övergången till b2clogin.com gäller endast för autentiseringsslutpunkter som använder Azure AD B2C-principer (användarflöden eller anpassade principer) för att autentisera användare. Dessa slutpunkter har en <policy-name> parameter som anger vilken princip Azure AD B2C ska använda. Läs mer om Azure AD B2C-principer.

Gamla slutpunkter kan se ut så här:

  • https://login.microsoft.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize
  • https://login.microsoft.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name>

En motsvarande uppdaterad slutpunkt skulle se ut så här:

  • https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize
  • https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name>

Med den anpassade Azure AD B2C-domänen skulle motsvarande uppdaterade slutpunkt se ut så här:

  • https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize
  • https://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name>

Slutpunkter som inte påverkas

Vissa kunder använder de delade funktionerna i Microsoft Entra Enterprise-klientorganisationer. Till exempel hämtar du en åtkomsttoken för att anropa MS Graph API för Azure AD B2C-klientorganisationen.

Den här ändringen påverkar inte alla slutpunkter, som inte innehåller någon principparameter i URL:en. De nås endast med Microsoft Entra-ID:ts login.microsoftonline.com slutpunkter och kan inte användas med b2clogin.com eller anpassade domäner. I följande exempel visas en giltig tokenslutpunkt för Microsofts identitetsplattform:

https://login.microsoftonline.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token

Översikt över nödvändiga ändringar

Det finns flera ändringar som du kan behöva göra för att migrera dina program från login.microsoftonline.com med hjälp av Azure AD B2C-slutpunkter:

  • Ändra omdirigerings-URL:en i identitetsproviderns program så att den refererar till b2clogin.com eller anpassad domän. Mer information finns i vägledningen om omdirigering av omdirigerings-URL:er för ändringsidentitetsprovider.
  • Uppdatera dina Azure AD B2C-program så att de använder b2clogin.com eller anpassad domän i användarflödes- och tokenslutpunktsreferenser. Ändringen kan omfatta uppdatering av din användning av ett autentiseringsbibliotek som Microsoft Authentication Library (MSAL).
  • Uppdatera alla tillåtna ursprung som du definierar i CORS-inställningarna för anpassning av användargränssnittet.

Ändra url:er för omdirigering av identitetsprovider

Ändra alla betrodda URL:er till omdirigering till your-tenant-name.b2clogin.comeller en anpassad domän i stället för login.microsoftonline.com på varje identitetsproviders webbplats där du har skapat ett program.

Det finns två format som du kan använda för dina b2clogin.com omdirigerings-URL:er. Den första ger fördelen att "Microsoft" inte visas någonstans i URL:en med hjälp av klientorganisations-ID :t (ett GUID) i stället för ditt klientdomännamn. Observera att authresp slutpunkten kanske inte innehåller något principnamn.

https://{your-tenant-name}.b2clogin.com/{your-tenant-id}/oauth2/authresp

Det andra alternativet använder ditt klientdomännamn i form av your-tenant-name.onmicrosoft.com. Till exempel:

https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp

För båda formaten:

  • Ersätt {your-tenant-name} med namnet på din Azure AD B2C-klientorganisation.
  • Ta bort /te om det finns i URL:en.

Uppdatera dina program och API:er

Koden i dina Azure AD B2C-aktiverade program och API:er kan referera till login.microsoftonline.com på flera platser. Koden kan till exempel ha referenser till användarflöden och tokenslutpunkter. Uppdatera följande för att i stället referera your-tenant-name.b2clogin.comtill :

  • Auktoriseringsslutpunkt
  • Tokenslutpunkt
  • Token-utfärdare

Till exempel skulle utfärdarslutpunkten för Contosos registrerings-/inloggningsprincip nu vara:

https://contosob2c.b2clogin.com/00000000-0000-0000-0000-000000000000/B2C_1_signupsignin1

Information om hur du migrerar OWIN-baserade webbprogram till b2clogin.com finns i Migrera ett OWIN-baserat webb-API till b2clogin.com.

Information om hur du migrerar API:er för Azure API Management som skyddas av Azure AD B2C finns i avsnittet Migrera till b2clogin.com i Skydda ett Azure API Management-API med Azure AD B2C.

Microsoft Authentication Library (MSAL)

MSAL.NET egenskapen ValidateAuthority

Om du använder MSAL.NET v2 eller tidigare anger du egenskapen ValidateAuthority till false på klient-instansiering för att tillåta omdirigeringar till b2clogin.com. Det här värdet false krävs inte för MSAL.NET v3 och senare.

ConfidentialClientApplication client = new ConfidentialClientApplication(...); // Can also be PublicClientApplication
client.ValidateAuthority = false; // MSAL.NET v2 and earlier **ONLY**

MSAL för JavaScript validateAuthority-egenskapen

Om du använder MSAL för JavaScript v1.2.2 eller tidigare anger du egenskapen validateAuthority till false.

// MSAL.js v1.2.2 and earlier
this.clientApplication = new UserAgentApplication(
  env.auth.clientId,
  env.auth.loginAuthority,
  this.authCallback.bind(this),
  {
    validateAuthority: false // Required in MSAL.js v1.2.2 and earlier **ONLY**
  }
);

Om du anger validateAuthority: true i MSAL.js 1.3.0+ (standard) måste du också ange en giltig tokenutfärdare med knownAuthorities:

// MSAL.js v1.3.0+
this.clientApplication = new UserAgentApplication(
  env.auth.clientId,
  env.auth.loginAuthority,
  this.authCallback.bind(this),
  {
    validateAuthority: true, // Supported in MSAL.js v1.3.0+
    knownAuthorities: ['tenant-name.b2clogin.com'] // Required if validateAuthority: true
  }
);

Nästa steg

Information om hur du migrerar OWIN-baserade webbprogram till b2clogin.com finns i Migrera ett OWIN-baserat webb-API till b2clogin.com.

Information om hur du migrerar API:er för Azure API Management som skyddas av Azure AD B2C finns i avsnittet Migrera till b2clogin.com i Skydda ett Azure API Management-API med Azure AD B2C.