Ange omdirigerings-URL:er till b2clogin.com för Azure Active Directory B2C

2025-05-03

Viktigt!

Från och med den 1 maj 2025 är Azure AD B2C inte längre tillgängligt att köpa för nya kunder. Läs mer i våra vanliga frågor och svar.

När du konfigurerar en identitetsprovider för registrering och inloggning i dina Azure Active Directory B2C-program (Azure AD B2C) måste du ange slutpunkterna för Azure AD B2C-identitetsprovidern. Du bör inte längre referera till login.microsoftonline.com i dina program och API:er för att autentisera användare med Azure AD B2C. Använd i stället b2clogin.com eller en anpassad domän för alla program.

Vilka slutpunkter gäller denna ändring?

Övergången till b2clogin.com gäller endast för autentiseringsslutpunkter som använder Azure AD B2C-principer (användarflöden eller anpassade principer) för att autentisera användare. Dessa slutpunkter har en <policy-name> parameter som anger vilken princip Azure AD B2C ska använda. Läs mer om Azure AD B2C-principer.

Gamla slutpunkter kan se ut så här:

https://login.microsoft.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize eller https://login.microsoft.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name> för /authorize slutpunkt.
https://login.microsoft.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/logout eller https://login.microsoft.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/logout?p=<policy-name> för /logout slutpunkt.

En motsvarande uppdaterad slutpunkt skulle se ut ungefär som följande slutpunkter:

https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize eller https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name> för /authorize slutpunkten.
https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/logout eller https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/logout?p=<policy-name> för /logout slutpunkten.

Med den anpassade Azure AD B2C-domänen skulle motsvarande uppdaterade slutpunkt se ut ungefär som följande slutpunkter. Du kan använda någon av dessa slutpunkter:

https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize eller https://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name> för /authorize slutpunkten.
https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/logout eller https://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/logout?p=<policy-name> för /logout slutpunkten.

Slutpunkter som inte påverkas

Vissa kunder använder de delade funktionerna i Microsoft Entra företagsklientkonton. Till exempel skaffa en åtkomsttoken för att anropa MS Graph API för Azure AD B2C-klienten.

Den här ändringen påverkar inte alla slutpunkter, som inte innehåller någon principparameter i URL:en. De nås endast med Microsoft Entra-ID:ts login.microsoftonline.com slutpunkter och kan inte användas med b2clogin.com eller anpassade domäner. I följande exempel visas en giltig tokenslutpunkt för Microsofts identitetsplattform:

https://login.microsoftonline.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token

Men om du bara vill hämta en token för att autentisera användare kan du ange den princip som programmet vill använda för att autentisera användare. I det här fallet skulle de uppdaterade /token slutpunkterna se ut ungefär som i följande exempel.

https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/token eller https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token?p=<policy-name> när du använder b2clogin.com.
https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/token eller https://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token?p=<policy-name> när du använder en anpassad domän.

Översikt över nödvändiga ändringar

Det finns flera ändringar som du kan behöva göra för att migrera dina program från login.microsoftonline.com med hjälp av Azure AD B2C-slutpunkter:

Ändra omdirigerings-URL:en i identitetsproviderns program så att den refererar till b2clogin.com eller anpassad domän. För mer information, följ vägledningen om att omdirigera URL:er för att byta identitetsleverantör.
Uppdatera dina Azure AD B2C-program så att de använder b2clogin.com eller anpassad domän i användarflödes- och tokenslutpunktsreferenser. Ändringen kan omfatta uppdatering av din användning av ett autentiseringsbibliotek som Microsoft Authentication Library (MSAL).
Uppdatera alla tillåtna ursprung som du definierar i CORS-inställningarna för anpassning av användargränssnittet.

Ändra omdirigeringsadresser för identitetsleverantör

Ändra alla betrodda URL:er till omdirigering till your-tenant-name.b2clogin.comeller en anpassad domän i stället för login.microsoftonline.com på varje identitetsproviders webbplats där du har skapat ett program.

Det finns två format som du kan använda för dina b2clogin.com omdirigerings-URL:er. En första fördel är att "Microsoft" inte syns någonstans i URL:en genom användning av klientorganisationens ID (ett GUID) istället för ditt klientdomännamn. Observera att authresp slutpunkten kanske inte innehåller något principnamn.

https://{your-tenant-name}.b2clogin.com/{your-tenant-id}/oauth2/authresp

Det andra alternativet använder ditt klientdomännamn i form av your-tenant-name.onmicrosoft.com. Till exempel:

https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp

För båda formaten:

Ersätt {your-tenant-name} med namnet på din Azure AD B2C-klientorganisation.
Ta bort /te om det finns i URL:en.

Uppdatera dina program och API:er

Koden i dina Azure AD B2C-aktiverade program och API:er kan referera till login.microsoftonline.com på flera platser. Koden kan till exempel ha referenser till användarflöden och tokenslutpunkter. Uppdatera följande för att i stället referera till your-tenant-name.b2clogin.com.

Auktoriseringsslutpunkt
Token-endpunkt
Token-utfärdare

Till exempel skulle auktoritetsslutpunkten för Contosos registrerings-/inloggningspolicy nu vara:

https://contosob2c.b2clogin.com/00000000-0000-0000-0000-000000000000/B2C_1_signupsignin1

Information om hur du migrerar OWIN-baserade webbprogram till b2clogin.com finns i Migrera ett OWIN-baserat webb-API till b2clogin.com.

Information om hur du migrerar API:er för Azure API Management som skyddas av Azure AD B2C finns i avsnittet Migrera till b2clogin.com i Skydda ett Azure API Management-API med Azure AD B2C.

Microsoft Authentication Library (MSAL)

egenskapen ValidateAuthority för MSAL.NET

Om du använder MSAL.NET v2 eller tidigare anger du egenskapen ValidateAuthority till false på klient-instansiering för att tillåta omdirigeringar till b2clogin.com. Det är inte nödvändigt att ställa in detta värde till false för MSAL.NET v3 och senare.

ConfidentialClientApplication client = new ConfidentialClientApplication(...); // Can also be PublicClientApplication
client.ValidateAuthority = false; // MSAL.NET v2 and earlier **ONLY**

MSAL för JavaScript ValidateAuthority-egenskapen

Om du använder MSAL för JavaScript v1.2.2 eller tidigare anger du egenskapen validateAuthority till false.

// MSAL.js v1.2.2 and earlier
this.clientApplication = new UserAgentApplication(
  env.auth.clientId,
  env.auth.loginAuthority,
  this.authCallback.bind(this),
  {
    validateAuthority: false // Required in MSAL.js v1.2.2 and earlier **ONLY**
  }
);

Om du anger validateAuthority: true MSAL.js 1.3.0+ (standard) måste du också ange en giltig tokenutfärdare med knownAuthorities:

// MSAL.js v1.3.0+
this.clientApplication = new UserAgentApplication(
  env.auth.clientId,
  env.auth.loginAuthority,
  this.authCallback.bind(this),
  {
    validateAuthority: true, // Supported in MSAL.js v1.3.0+
    knownAuthorities: ['tenant-name.b2clogin.com'] // Required if validateAuthority: true
  }
);