Handledning: Skapa användarflöden och anpassade policyer i Azure Active Directory B2C

Viktigt!

Från och med den 1 maj 2025 är Azure AD B2C inte längre tillgängligt att köpa för nya kunder. Läs mer i våra vanliga frågor och svar.

Innan du börjar använder du väljaren Välj en principtyp överst på den här sidan för att välja den typ av princip som du konfigurerar. Azure Active Directory B2C erbjuder två metoder för att definiera hur användare interagerar med dina program: via fördefinierade användarflöden eller genom fullständigt konfigurerbara anpassade principer. De steg som krävs i den här artikeln skiljer sig åt för varje metod.

I dina applikationer kan du ha användarflöden som gör det möjligt för användare att registrera sig, logga in eller hantera sin profil. Du kan skapa flera användarflöden av olika typer i din Azure Active Directory B2C (Azure AD B2C) klient och använda dem i dina applikationer efter behov. Användarflöden kan återanvändas över olika applikationer.

En användarflöde låter dig bestämma hur användare interagerar med din applikation när de gör saker som att logga in, registrera sig, redigera en profil eller återställa ett lösenord. I den här artikeln lär du dig att:

Anpassade policyer är konfigurationsfiler som definierar beteendet för er Azure Active Directory B2C (Azure AD B2C)-klient. I den här artikeln lär du dig att:

• Skapa ett flöde för registrering och inloggning av användare
• Aktivera lösenordsåterställning via självbetjäning
• Skapa ett användarflöde för profilredigering

Viktigt!

Vi har ändrat sättet vi hänvisar till användarflödesversioner. Tidigare erbjöd vi V1-versioner (produktionsklara) och V1.1 och V2-versioner (förhandsvisning). Nu har vi sammanfogat användarflödena till två versioner: Rekommenderade användarflöden med de senaste funktionerna, och Standard (Legacy) användarflöden. Alla äldre förhandsgranskningsflöden för användare (version 1.1 och version 2) är utdaterade. För mer information, se User flow versions in Azure AD B2C. Endast dessa ändringar gäller för det offentliga Azure-molnet. Andra miljöer fortsätter att använda äldre versionshantering för användarflöden.

Förutsättningar

• Om du inte redan har en, skapa en Azure AD B2C-klientenhet som är länkad till din Azure-prenumeration.
• Registrera en webbapplikation, och aktivera ID-token implicit tilldelning.

• Om du inte redan har en, skapa en Azure AD B2C-klientenhet som är länkad till din Azure-prenumeration.
• Registrera en webbapplikation, och aktivera ID-token implicit tilldelning.

Skapa ett flöde för registrering och inloggning av användare

Registrerings- och inloggningsflödet hanterar båda upplevelserna med en enda konfiguration. Användare av ditt program leds längs rätt sökväg beroende på kontexten. För att skapa ett flöde för registrering och inloggning:

1. Logga in på Azure-portalen.

2. Om du har åtkomst till flera klientorganisationer väljer du ikonen Inställningar på den översta menyn för att växla till din Azure AD B2C-klientorganisation från menyn Kataloger + prenumerationer.

3. I Azure Portal söker du efter och väljer Azure AD B2C.

4. Under Principer väljer du Användarflöden och sedan Nytt användarflöde.

   

5. På sidan Skapa ett användarflöde väljer du användarflödet Registrera och logga in.

   

6. Under Välj en version väljer du Rekommenderas och sedan Skapa. (Läs mer om användarflödesversioner.)

   

7. Ange ett Namn för användarflödet. Till exempel signupsignin1.

8. För identitetsleverantörer, välj E-postregistrering.

9. För användarattribut och tokenkrav kan du välja de fordringar och attribut som du vill samla in och skicka från användaren vid registrering. Använd till exempel Visa mer, och välj sedan attribut och fordringar för Land/Region, Visningsnamn, och Postnummer. Välj OK.

   

10. Välj Skapa för att lägga till användarflödet. Ett prefix av B2C_1_ läggs automatiskt till namnet du angav tidigare. Till exempel B2C_1_signupsignin1.

Testa användarflödet

1. Från sidan Användarflöden, välj det användarflöde du just skapade för att öppna sidan med dess översikt.

2. Längst upp på översiktssidan för användarflödet väljer du Kör användarflöde. Ett fönster öppnas till höger på sidan.

3. För Applikation, välj den webbapplikation du vill testa, såsom den med namnet webapp1. Reply URL ska visa https://jwt.ms.

4. Välj Kör användarflöde och sedan Registrera dig nu.

   

5. Ange en giltig e-postadress, välj Skicka verifieringskod, ange verifieringskoden som du får och välj sedan Verifiera kod.

6. Ange ett nytt lösenord och bekräfta lösenordet.

7. Välj ditt land och din region, ange det namn som du vill visa, ange ett postnummer och välj sedan Skapa. Tokenet återlämnas till https://jwt.ms och bör visas för dig i din webbläsare.

8. Du kan nu köra användarflödet igen och du bör kunna logga in med det konto som du just har skapat. Den returnerade token innehåller de uppgifter som du valde, inklusive land/region, namn och postnummer.

Anmärkning

"Kör användarflöde"-upplevelsen är för närvarande inte kompatibel med SPA-svarstypen för URL som använder auktoriseringskodsflöde. För att använda "Run user flow"-upplevelsen med den här typen av appar, registrera en svar-URL av typen "Web" och aktivera det implicita flödet..

Aktivera lösenordsåterställning via självbetjäning

För att aktivera självbetjäning för lösenordsåterställning för registrerings- eller inloggningsflödet:

1. Från sidan Användarflöden, välj det användarflöde för registrering eller inloggning som du just skapade.
2. Under Inställningar i den vänstra menyn, välj Egenskaper.
3. Under Lösenordskonfiguration väljer du Självbetjäning av lösenordsåterställning.
4. Välj Spara.

Testa användarflödet

1. Från sidan Användarflöden väljer du det användarflöde du just skapade för att öppna dess översiktssida, och välj sedan Kör användarflöde.
2. För Applikation, välj den webbapplikation du vill testa, såsom den med namnet webapp1. Reply URL ska visa https://jwt.ms.
3. Välja Kör användarflödet.
4. Från registrerings- eller inloggningssidan, välj Glömt ditt lösenord?.
5. Kontrollera e-postadressen för det konto som du skapade tidigare och välj sedan Fortsätt.
6. Du har nu möjlighet att ändra lösenordet för användaren. Ändra lösenordet och välj Fortsätt. Tokan återlämnas till https://jwt.ms och bör visas i din webbläsare.

Skapa ett användarflöde för profilredigering

Om du vill ge användare möjlighet att redigera sin profil i din applikation använder du ett användarflöde för profilredigering.

1. I menyn på översiktssidan för Azure AD B2C-hyresgästen väljer du Användarflöden och sedan Nytt användarflöde.
2. På sidan Skapa ett användarflöde väljer du användarflödet Profilredigering .
3. Under Välj en version väljer du Rekommenderas och sedan Skapa.
4. Ange ett Namn för användarflödet. Till exempel profileediting1.
5. För Identitetsleverantörer, under Lokala konton, välj E-postregistrering.
6. För Användarattribut, välj de attribut som du vill att kunden ska kunna redigera i sin profil. Välj till exempel Visa mer och välj sedan både attribut och anspråk för Visningsnamn och Jobbrubrik. Välj OK.
7. Välj Skapa för att lägga till användarflödet. Ett prefix av B2C_1_ läggs automatiskt till i namnet.

Testa användarflödet

1. Välj det användarflöde som du skapade för att öppna översiktssidan.
2. Längst upp på översiktssidan för användarflödet väljer du Kör användarflöde. Ett fönster öppnas till höger på sidan.
3. För Applikation, välj den webbapplikation du vill testa, såsom den med namnet webapp1. Reply URL ska visa https://jwt.ms.
4. Välj Kör användarflöde, och logga sedan in med det konto som du tidigare skapade.
5. Du har nu möjlighet att ändra visningsnamn och arbetstitel för användaren. Välj Fortsätt. Tokan återlämnas till https://jwt.ms och bör visas i din webbläsare.

Tips/Råd

Den här artikeln beskriver hur du konfigurerar klientorganisationen manuellt. Du kan automatisera hela processen från den här artikeln. Automatisering distribuerar Azure AD B2C SocialAndLocalAccountsWithMFA-startpaketet, som tillhandahåller registrerings- och inloggningsprocesser, återställning av lösenord och profiländringar. För att automatisera genomgången nedan, besök IEF Setup App och följ instruktionerna.

Lägg till signerings- och krypteringsnycklar för program som använder Identity Experience Framework

1. Logga in på Azure-portalen.
2. Om du har åtkomst till flera klientorganisationer väljer du ikonen Inställningar på den översta menyn för att växla till din Azure AD B2C-klientorganisation från menyn Kataloger + prenumerationer.
3. I Azure Portal söker du efter och väljer Azure AD B2C.
4. På översiktssidan går du till Principeroch väljer Identity Experience Framework.

Skapa signeringsnyckeln

1. Välj Principnycklar och välj sedan Lägg till.
2. För Alternativ väljer du Generate.
3. Ange i NamnTokenSigningKeyContainer. Prefixet B2C_1A_ kan läggas till automatiskt.
4. För Nyckeltyp väljer du RSA.
5. För Nyckelanvändning väljer du Signatur.
6. Välj Skapa.

Skapa krypteringsnyckeln

1. Välj Principnycklar och välj sedan Lägg till.
2. För Alternativ väljer du Generate.
3. Ange i NamnTokenEncryptionKeyContainer. Prefixen B2C_1A_ kanske läggs till automatiskt.
4. För Nyckeltyp väljer du RSA.
5. För Nyckelanvändning väljer du Kryptering.
6. Välj Skapa.

Registrera Identity Experience Framework-applikationer

Azure AD B2C kräver att du registrerar två applikationer som det använder för att registrera och logga in användare med lokala konton: IdentityExperienceFramework, ett webbaserat API, och ProxyIdentityExperienceFramework, en inbyggd app med delegerad behörighet till IdentityExperienceFramework-appen. Dina användare kan registrera sig med en e-postadress eller ett användarnamn och ett lösenord för att få tillgång till applikationer som är registrerade till din klientorganisation, vilket skapar ett "lokalt konto." Lokala konton finns endast i din Azure AD B2C-klient.

Du behöver endast registrera dessa två applikationer i din Azure AD B2C-tenant en gång.

Registrera applikationen IdentityExperienceFramework

För att registrera en applikation i din Azure AD B2C-klient kan du använda funktionen Appregistreringar.

1. Välj Appregistreringaroch välj sedan Ny registrering.
2. För Namn ange IdentityExperienceFramework.
3. Under Kontotyper som stöds, välj Endast konton i den här organisationskatalogen.
4. Under Redirect URI, välj Web, och ange sedan https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com, där your-tenant-name är ditt Azure AD B2C-domännamn för hyresgäster.
5. Under Behörighetermarkerar du kryssrutan Bevilja administratörsmedgivande till openid och offline_access behörigheter.
6. Välj Registrera.
7. Notera Program (klient) ID för användning i ett senare steg.

Nästa steg är att exponera API:et genom att lägga till ett område.

1. I den vänstra menyn, under Hantera, välj Exponera ett API.
2. Välj Lägg till ett omfång, sedan välj Spara och fortsätt för att acceptera standardapplicationens ID-URI.
3. Ange följande värden för att skapa ett omfång som tillåter anpassad policysutförande i din Azure AD B2C-klient.
   • Omfångsnamn: user_impersonation
   • Administratörsgodkännande visningsnamn: Access IdentityExperienceFramework
   • Beskrivning av administratörsmedgivande: Allow the application to access IdentityExperienceFramework on behalf of the signed-in user.
4. Välj Lägg till omfång

---

Registrera ProxyIdentityExperienceFramework-applikationen

1. Välj Appregistreringaroch välj sedan Ny registrering.
2. För Namn ange ProxyIdentityExperienceFramework.
3. Under Kontotyper som stöds, välj Endast konton i den här organisationskatalogen.
4. Under Omdirigerings-URI, använd rullgardinsmenyn för att välja Offentlig klient/native (mobil & skrivbord).
5. För Omdirigerings-URI anger du myapp://auth.
6. Under Behörighetermarkerar du kryssrutan Bevilja administratörsmedgivande till openid och offline_access behörigheter.
7. Välj Registrera.
8. Notera Program (klient) ID för användning i ett senare steg.

Ange sedan att programmet ska behandlas som en offentlig klient:

1. I den vänstra menyn går du till Hantera och väljer Autentisering.
2. Under Avancerade inställningar i avsnittet Tillåt offentliga klientflöden anger du Aktivera följande mobil- och skrivbordsflöden till Ja.
3. Välj Spara.
4. Kontrollera att "isFallbackPublicClient": true har angetts i Microsoft Graph App Manifest(New):
   1. I den vänstra menyn, under Hantera, väljer du Manifest för att öppna Microsoft Graph App Manifest(Ny)
   2. Växla från fliken Microsoft Graph App Manifest (Nytt) till fliken AAD Graph App Manifest (Inaktuell snart).
   3. Hitta nyckeln isFallbackPublicClient och se till att dess värde är inställt på true.

Nu, ge behörigheter till det API-omfång som du tidigare exponerade i IdentityExperienceFramework-registreringen:

1. I den vänstra menyn, under Hantera, välj API-behörigheter.
2. Under Konfigurerade behörigheter väljer du Lägg till en behörighet.
3. Välj fliken API:er som min organisation använder och välj sedan programmet IdentityExperienceFramework .
4. Under Behörighet väljer du det user_impersonation omfång som du definierade tidigare.
5. Välj Lägg till behörigheter. Vänta några minuter innan du fortsätter till nästa steg.
6. Välj Bevilja administratörsmedgivande för <ditt hyresgästsnamn>.
7. Välj Ja.
8. Välj Uppdatera, och verifiera sedan att "Beviljad för ..." visas under Status för omfånget.

---

Startpaket för anpassad policy

Anpassade principer är en uppsättning XML-filer som du laddar upp till din Azure AD B2C-klientorganisation för att definiera tekniska profiler och användarresor. Vi tillhandahåller startpaket med flera fördefinierade principer som hjälper dig att snabbt komma igång. Var och en av dessa startpaket innehåller det minsta antalet tekniska profiler och användarresor som behövs för att uppnå de scenarier som beskrivs. Om du vill ha en mer djupgående guide till anpassade principer i Azure AD B2C kan du följa vår serie av anvisningar om anpassade principer.

• LocalAccounts – Aktiverar endast användning av lokala konton.
• SocialAccounts – Aktiverar endast användning av sociala (eller federerade) konton.
• SocialAndLocalAccounts – Möjliggör användning av både lokala och sociala konton.
• SocialAndLocalAccountsWithMFA – Aktiverar alternativ för social, lokal och multifaktorautentisering.

Varje startpaket innehåller:

• Base file - Få ändringar krävs för basen. Exempel: TrustFrameworkBase.xml
• Lokaliseringfil - Denna fil är där lokaliseringändringar görs. Exempel: TrustFrameworkLocalization.xml
• Tilläggsfil - Den här filen är där de flesta konfigurationsändringar görs. Exempel: TrustFrameworkExtensions.xml
• Användarförtroendefiler - Uppgiftsspecifika filer som kallas av din applikation. Exempel: SignUpOrSignin.xml, ProfileEdit.xml, PasswordReset.xml

I den här artikeln redigerar du XML-anpassade policyfiler i SocialAndLocalAccounts startpaketet. Om du behöver en XML-redigerare, prova Visual Studio Code, en lätt och plattformsoberoende redigerare.

Hämta startpaketet

Hämta de anpassade policystarterpaketen från GitHub och uppdatera sedan XML-filerna i starterpaketet SocialAndLocalAccounts med ditt Azure AD B2C-klientnamn.

1. Ladda ner .zip-filen eller klona arkivet:

   git clone https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack
   

2. I alla filer i katalogen SocialAndLocalAccounts ersätt strängen yourtenant med namnet på din Azure AD B2C-klient.

   Om namnet på din B2C-klientorganisation är till exempel contosotenant, blir alla instanser av yourtenant.onmicrosoft.com till contosotenant.onmicrosoft.com.

Lägg till applikations-ID:n till den anpassade policyn

Lägg till program-ID:n till filen för tillägg, TrustFrameworkExtensions.xml.

1. Öppna SocialAndLocalAccounts/TrustFrameworkExtensions.xml och hitta elementet <TechnicalProfile Id="login-NonInteractive">.
2. Ersätt båda instanserna av IdentityExperienceFrameworkAppId med program-ID för IdentityExperienceFramework-programmet som du skapade tidigare.
3. Ersätt båda förekomsterna av ProxyIdentityExperienceFrameworkAppId med applikations-ID för applikationen ProxyIdentityExperienceFramework som du skapade tidigare.
4. Spara filen.

Lägga till Facebook som identitetsprovider

SocialAndLocalAccounts-startpaketet inkluderar Facebooks sociala inloggning. Facebook krävs inte för att använda anpassade policys, men vi använder det här för att visa hur du kan aktivera federerad social inloggning i en anpassad policy. Om du inte behöver aktivera federerade sociala inloggningar, använd istället startpaketet LokalaKonton och hoppa till avsnittet Ladda upp policys.

Skapa Facebook-applikation

Använd stegen som beskrivs i Skapa ett Facebook-program för att hämta Facebook-app-ID och apphemlighet. Hoppa över förutsättningarna och resten av stegen i artikeln Konfigurera registrering och logga in med ett Facebook-konto .

Skapa Facebook-nyckeln

Lägg till din Facebook-applikations Applikationshemlighet som en policynyckel. Du kan använda app-hemligheten för applikationen du skapade som en del av förutsättningarna för den här artikeln.

1. Logga in på Azure-portalen.
2. Om du har åtkomst till flera klientorganisationer väljer du ikonen Inställningar på den översta menyn för att växla till din Azure AD B2C-klientorganisation från menyn Kataloger + prenumerationer.
3. I Azure Portal söker du efter och väljer Azure AD B2C.
4. På översiktssidan går du till Principeroch väljer Identity Experience Framework.
5. Välj Principnycklar och välj sedan Lägg till.
6. För Alternativ väljer du Manual.
7. För Namn ange FacebookSecret. Prefixet B2C_1A_ kan läggas till automatiskt.
8. I Secret anger du din Facebook-applikations App Secret från developers.facebook.com. Detta värde är hemligheten, inte applikations-ID:t.
9. För Nyckelanvändning väljer du Signatur.
10. Välj Skapa.

Uppdatera TrustFrameworkExtensions.xml i den anpassade policy-startpaket

I filen SocialAndLocalAccounts/TrustFrameworkExtensions.xml, ersätt värdet av client_id med Facebook-applikationens ID och spara ändringarna.

<TechnicalProfile Id="Facebook-OAUTH">
  <Metadata>
  <!--Replace the value of client_id in this technical profile with the Facebook app ID"-->
    <Item Key="client_id">00000000000000</Item>

Ladda upp policys

1. Välj menyalternativet Identity Experience Framework i din B2C-klient i Azure-portalen.
2. Välj Överför anpassad policy.
3. I denna ordning, ladda upp policyfilerna.
   1. TrustFrameworkBase.xml
   2. TrustFrameworkLocalization.xml
   3. TrustFrameworkExtensions.xml
   4. SignUpOrSignin.xml
   5. ProfileEdit.xml
   6. PasswordReset.xml

När du laddar upp filerna lägger Azure till prefixet B2C_1A_ till var och en.

Tips/Råd

Om din XML-redigerare stödjer validering, validera filerna mot TrustFrameworkPolicy_0.3.0.0.xsd XML-schemat som finns i rotkatalogen av startpaketet. XML-schema-validering identifierar fel innan uppladdning.

Testa den anpassade policyn

1. Under Custom policies väljer du B2C_1A_signup_signin.
2. För Välj applikation på översiktssidan för den anpassade policyn, välj den webbapplikation du vill testa, såsom den som heter webapp1.
3. Kontrollera att svars-URL:en är https://jwt.ms.
4. Välj kör nu.
5. Registrera dig med en e-postadress.
6. Välj Kör nu igen.
7. Logga in med samma konto för att bekräfta att du har rätt konfiguration.
8. Välj Kör nu igen, och välj Facebook för att logga in med Facebook och testa den anpassade policyn.

Nästa steg

I den här artikeln har du lärt dig att:

• Skapa en användarflöde för registrering och inloggning
• Skapa ett användarflöde för profilredigering
• Skapa ett användarflöde för lösenordsåterställning

Nästa, lär dig hur du använder Azure AD B2C för att logga in och registrera användare i en applikation. Följ exempelapparna som är länkade nedan:

• Konfigurera en exempel-ASP.NET Core-webbapp
• Konfigurera ett exempel på en ASP.NET Core-webbapp som anropar en webb-API
• Konfigurera autentisering i ett Python-exempelwebbprogram
• Konfigurera en provapplikation med ensidig sida (SPA)
• Konfigurera en exempel Angular en-sida app
• Konfigurera en Android-mobilapp som ett exempel
• Konfigurera ett exempel på en iOS-mobilapp
• Konfigurera autentisering i ett exempel på en WPF-skrivbordsapplikation
• Aktivera autentisering i ditt web-API
• Konfigurera ett SAML-program

Du kan också lära dig mer i Azure AD B2C Architecture Deep Dive Series.