Kimlik doğrulaması için Bluink eID-Me ile Azure Active Directory B2C'yi yapılandırma

Önemli

1 Mayıs 2025 tarihinden itibaren Azure AD B2C artık yeni müşteriler için satın alınamayacak. SSS bölümünden daha fazla bilgi edinebilirsiniz.

Başlamadan önce

Azure Active Directory B2C 'nin (Azure AD B2C) uygulamalarla kullanıcı etkileşimlerini tanımlamak için iki yöntemi vardır: önceden tanımlanmış kullanıcı akışları veya yapılandırılabilir özel ilkeler. Özel ilkeler karmaşık senaryoları ele alır. Çoğu senaryo için kullanıcı akışlarını öneririz. Bkz. Kullanıcı akışlarına ve özel ilkelere genel bakış

Azure AD B2C kimlik doğrulamayı eID-Me ile tümleştirme

Azure AD B2C kimlik doğrulamasını Kanada vatandaşları için kimlik doğrulama ve merkezi olmayan dijital kimlik çözümü bluink eID-Me ile tümleştirmeyi öğrenin. eID-Me ile Azure AD B2C kiracıları kullanıcı kimliğini doğrular, doğrulanmış kaydolma ve oturum açma kimliği taleplerini alır. Tümleştirme, güvenli bir dijital kimlikle çok faktörlü kimlik doğrulamasını ve parolasız oturum açmayı destekler. Kuruluşlar Kimlik Güvencesi Düzeyi (IAL) 2 ve Müşterinizi Tanıma (KYC) gereksinimlerini karşılayabilir.

Daha fazla bilgi edinmek için bluink.ca: Bluink Ltd sayfasına gidin

Önkoşullar

Başlamak için şunları yapmanız gerekir:

Ayrıca bkz . Öğretici: Azure AD B2C'de kullanıcı akışları ve özel ilkeler oluşturma.

Senaryo açıklaması

eID-Me, OpenID Connect (OIDC) kimlik sağlayıcısı olarak Azure AD B2C ile tümleşir. Aşağıdaki bileşenler Azure AD B2C ile eID-Me çözümünü içerir:

  • Azure AD B2C kiracısı - eID-Me'de bağlı olan taraf olarak yapılandırılan eID-Me'nin kaydolma ve oturum açma için Azure AD B2C kiracısına güvenmesini sağlar
  • Azure AD B2C kiracı uygulaması - Kiracıların bir Azure AD B2C kiracı uygulamasına ihtiyacı olduğu varsayımı
    • Uygulama, işlem sırasında Azure AD B2C tarafından alınan kimlik taleplerini alır
  • eID-Me akıllı telefon uygulamaları - Azure AD B2C kiracısı kullanıcılarının iOS veya Android için uygulamaya ihtiyacı var
  • Verilen eID-Me dijital kimlikleri - eID-Me kimlik doğrulama sürecinden
    • Kullanıcılara uygulamadaki dijital cüzdana dijital kimlik verilir. Geçerli kimlik belgeleri gereklidir.

eID-Me uygulamaları, işlemler sırasında kullanıcıların kimliğini doğrular. X509 ortak anahtar kimlik doğrulaması, eID-Me dijital kimliğinde özel bir imzalama anahtarı kullanarak parolasız MFA sağlar.

Aşağıdaki diyagramda Azure AD B2C akışlarının dışında gerçekleşen eID-Me kimlik doğrulaması gösterilmektedir.

eID-Me'deki kimlik denetleme akışının diyagramı.

  1. Kullanıcı eID-Me akıllı telefon uygulamasına bir selfie yükler.
  2. Kullanıcı, kamu tarafından verilen pasaport veya sürücü belgesi gibi bir kimlik belgesini tarar ve eID-Me akıllı telefon uygulamasına yükler.
  3. eID-Me, doğrulama için kimlik hizmetine veri gönderir.
  4. Kullanıcıya uygulamaya kaydedilen bir dijital kimlik verilir.

Aşağıdaki diyagramda eID-Me ile Azure AD B2C tümleştirmesi gösterilmektedir.

eID-Me ile Azure AD B2C tümleştirmesinin diyagramı.

  1. Kullanıcı, Azure AD B2C oturum açma sayfasını açar ve bir kullanıcı adıyla oturum açar veya kayıt olur.
  2. Kullanıcı Azure AD B2C giriş ve kayıt politikasına yönlendirildi.
  3. Azure AD B2C, OIDC yetkilendirme kodu akışını kullanarak kullanıcıyı eID-Me kimlik yönlendiricisine yönlendirir.
  4. Yönlendirici, kimlik doğrulaması ve yetkilendirme isteği ayrıntılarıyla birlikte kullanıcı mobil uygulamasına anında iletme bildirimi gönderir.
  5. Kullanıcı kimlik doğrulaması sınaması görüntülenir ve ardından kimlik talepleri için bir istem görüntülenir.
  6. Sınama yanıtı yönlendiriciye gider.
  7. Yönlendirici, Azure AD B2C'ye bir kimlik doğrulama sonucuyla yanıt verir.
  8. Kimlik belirteci yanıtı Azure AD B2C tarafından uygulamaya iletilir.
  9. Kullanıcıya erişim verildi veya erişim reddedildi.

eID-Me kullanmaya başlama

Azure AD B2C kiracılarını güvenen taraf olarak ayarlamak amacıyla bir test veya üretim ortamı yapılandırmak için bir demo talep etmek üzere bluink.ca Bize Ulaşın sayfasını ziyaret edin. Kiracılar, eID-Me ile kaydolan tüketicilerden gereken kimlik taleplerini belirler.

eID-Me'de uygulama yapılandırma

Kiracı uygulamanızı eID-Me'de bir eID-ME bağlı tarafı olarak yapılandırmak için aşağıdaki bilgileri sağlayın:

Mülkiyet Açıklama
İsim Azure AD B2C veya başka bir uygulama adı
Alan adı name.onmicrosoft.com
Yeniden Yönlendirme URI'leri https://jwt.ms
Yönlendirme URL'leri https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp
Mesela: https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp
Özel alan adı için https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp.
Uygulama giriş sayfası URL'si Son kullanıcıya görünür
Uygulama gizlilik ilkesi URL'si Son kullanıcıya görünür

Uyarı

Bağlı olan taraf yapılandırıldığında, ID-Me bir İstemci Kimliği ve bir İstemci Gizli Anahtarı sağlar. Azure AD B2C'de kimlik sağlayıcısını (IdP) yapılandırmak için İstemci Kimliği ve İstemci Gizli Anahtarı'na dikkat edin.

Azure AD B2C'de yeni kimlik sağlayıcısı ekleme

Aşağıdaki yönergeler için Azure AD B2C kiracısıyla ilgili dizini kullanın.

  1. Azure portalına, Azure AD B2C kiracısının en az B2C IEF İlkesi Yöneticisi olarak oturum açın.
  2. Üstteki menüde Dizin + abonelik'i seçin.
  3. Kiracının olduğu dizini seçin.
  4. Azure portalının sol üst köşesinde Tüm hizmetler'i seçin.
  5. Azure AD B2C'yi arayıp seçin.
  6. Pano>Azure Active Directory B2C>Kimlik sağlayıcıları'na gidin.
  7. Yeni OpenID Connect Sağlayıcısı'yı seçin.
  8. Add (Ekle) seçeneğini belirleyin.

Bir kimlik sağlayıcısını yapılandırın

Kimlik sağlayıcısını yapılandırmak için:

  1. Kimlik sağlayıcısı türü> seçin.
  2. Kimlik sağlayıcısı formundaki Ad alanına eID-Me Parolasız veya başka bir ad girin.
  3. İstemci Kimliği için eID-Me'den İstemci Kimliğini girin.
  4. İstemci Gizli Anahtarı için eID-Me'den İstemci Gizli Anahtarını girin.
  5. Kapsam için openid e-posta profili'ne tıklayın.
  6. Yanıt türü içinkod'a tıklayın.
  7. Yanıt modu için form gönderisi'ne tıklayın.
  8. Tamam'ı seçin.
  9. Bu kimlik sağlayıcısının taleplerini eşle'yi seçin.
  10. Kullanıcı Kimliği için alt öğesini kullanın.
  11. Görünen ad için name kullanın.
  12. Verilen ad için given_name kullanın.
  13. Soyadı için family_name kullanın.
  14. E-posta için e-postayı kullanın.
  15. Kaydetseçeneğini seçin.

Çok faktörlü kimlik doğrulamasını yapılandırma

eID-Me çok faktörlü bir kimlik doğrulayıcıdır, bu nedenle kullanıcı akışı çok faktörlü kimlik doğrulaması yapılandırması gerekmez.

Kullanıcı akışı ilkesi oluşturma

Aşağıdaki yönergeler için eID-Me, B2C kimlik sağlayıcılarında yeni bir OIDC kimlik sağlayıcısı olarak görünür.

  1. Azure AD B2C kiracısında , İlkeler'in altında Kullanıcı akışları'nı seçin.
  2. Yeni kullanıcı akışı’nı seçin.
  3. Kaydol'u seçin veSürüm>Oluşturma'da> oturumaçın.
  4. İlke Adı girin.
  5. Kimlik sağlayıcıları bölümünde oluşturulan eID-Me kimlik sağlayıcısını seçin.
  6. Yerel Hesaplar için Yok'a tıklayın. Seçim, e-posta ve parola kimlik doğrulamasını devre dışı bırakır.
  7. Kullanıcı akışı çalıştır'ı seçin.
  8. Bir Yanıtlama URL'si girin, örneğin https://jwt.ms.
  9. Tarayıcı eID-Me oturum açma sayfasına yönlendirilir.
  10. Kullanıcı kaydındaki hesap adını girin.
  11. Kullanıcı, eID-Me ile mobil cihazda anında iletme bildirimi alır.
  12. Bir kimlik doğrulama sınaması görüntülenir.
  13. Sınama kabul edilir ve tarayıcı yanıtlayan URL'ye yönlendirilir.

Uyarı

Azure Active Directory B2C 'nin (Azure AD B2C) uygulamalarla kullanıcı etkileşimlerini tanımlamak için iki yöntemi vardır: önceden tanımlanmış kullanıcı akışları veya yapılandırılabilir özel ilkeler. Özel ilkeler karmaşık senaryoları ele alır. Çoğu senaryo için kullanıcı akışlarını öneririz. Bkz. Kullanıcı akışlarına ve özel ilkelere genel bakış

İlke anahtarı oluşturma

Azure AD B2C kiracı veritabanınızda kaydettiğiniz İstemci Sırrını depolayın. Aşağıdaki yönergeler için Azure AD B2C kiracısıyla ilgili dizini kullanın.

  1. Azure portalınaoturum açın.
  2. Portal araç çubuğunda Dizinler + abonelikler'i seçin.
  3. Portal ayarları, Dizinler + abonelikler sayfasındaki Dizin adı listesinde Azure AD B2C dizininizi bulun.
  4. Değiştir'i seçin.
  5. Azure portalının sol üst köşesinde Tüm hizmetler'i seçin.
  6. Azure AD B2C'yi arayıp seçin.
  7. Genel Bakış sayfasında Kimlik Deneyimi Çerçevesi'ni seçin.
  8. İlke Anahtarları'nı seçin.
  9. Add (Ekle) seçeneğini belirleyin.
  10. Seçenekler için Manuel seçin.
  11. İlke anahtarı için bir Ad girin. Örneğin, eIDMeClientSecret. Ön ek B2C_1A_ anahtar adına eklenir.
  12. Gizli Anahtar alanına, not ettiğiniz gizli anahtarı girin.
  13. Anahtar kullanımı için İmza seçin.
  14. Oluştur'i seçin.

eID-Me'yi Kimlik sağlayıcısı olarak yapılandırma

Kullanıcıların eID-Me ile oturum açmasını sağlamak için eID-Me'yi talep sağlayıcısı olarak tanımlayın. Azure AD B2C, uç nokta üzerinden onunla iletişim kurar. Uç nokta, Azure AD B2C tarafından cihazlarında bir dijital kimlikle kullanıcı kimlik doğrulamasını doğrulamak için kullanılan talepleri sağlar.

eID-Me'yi talep sağlayıcısı olarak tanımlamak için ilke uzantısı dosyasındaki ClaimsProvider öğesine ekleyin.

  1. TrustFrameworkExtensions.xml öğesini açın.

  2. ClaimsProviders öğesini bulun. Görünmezse kök öğesinin altına ekleyin.

  3. Yeni bir ClaimsProvider ekleyin:

       <ClaimsProvider>
   <Domain>eID-Me</Domain>
   <DisplayName>eID-Me</DisplayName>
   <TechnicalProfiles>
     <TechnicalProfile Id="eID-Me-OIDC">
       <!-- The text in the following DisplayName element is shown to the user on the claims provider 
selection screen. -->
       <DisplayName>eID-Me for Sign In</DisplayName>
       <Protocol Name="OpenIdConnect" />
       <Metadata>
         <Item Key="ProviderName">https://eid-me.bluink.ca</Item>
         <Item Key="METADATA">https://demoeid.bluink.ca/.well-known/openid-configuration</Item>
         <Item Key="response_types">code</Item>
         <Item Key="scope">openid email profile</Item>
         <Item Key="response_mode">form_post</Item>
         <Item Key="HttpBinding">POST</Item>
         <Item Key="token_endpoint_auth_method">client_secret_post</Item>
         <Item Key="client_id">eid_me_rp_client_id</Item>
         <Item Key="UsePolicyInRedirectUri">false</Item>
       </Metadata>
       <CryptographicKeys>
         <Key Id="client_secret" StorageReferenceId="B2C_1A_eIDMeClientSecret" />
       </CryptographicKeys>
       <InputClaims />
       <OutputClaims>
         <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
         <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" />
         <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
         <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
         <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
         <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
         <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
         <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
         <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
         <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
         <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
       </OutputClaims>
       <OutputClaimsTransformations>
         <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
         <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
         <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
         <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
       </OutputClaimsTransformations>
       <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
     </TechnicalProfile>
   </TechnicalProfiles>
 </ClaimsProvider>

  4. eid_me_rp_client_id için eID-Me bağlı olan taraf İstemci Kimliğini girin.

  5. Kaydetseçeneğini seçin.

Desteklenen kimlik beyanları

eID-Me tarafından desteklenen daha fazla kimlik talebi ekleyebilirsiniz.

  1. TrustFrameworksExtension.xml öğesini açın.
  2. BuildingBlocks öğesini bulun.

Uyarı

well-known/openid-configuration üzerinde OIDC tanımlayıcıları ile OID deposunda desteklenen eID-Me kimlik talep listelerini bulun.

<BuildingBlocks>
<ClaimsSchema>
 <ClaimType Id="IAL">
     <DisplayName>Identity Assurance Level</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="identity_assurance_level_achieved" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</AdminHelpText>
     <UserHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</UserHelpText>
     <UserInputType>Readonly</UserInputType>
   </ClaimType>

<ClaimType Id="picture">
     <DisplayName>Portrait Photo</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="thumbnail_portrait" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The portrait photo of the user.</AdminHelpText>
     <UserHelpText>Your portrait photo.</UserHelpText>
     <UserInputType>Readonly</UserInputType>
   </ClaimType>

 <ClaimType Id="middle_name">
     <DisplayName>Portrait Photo</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="middle_name" />
     </DefaultPartnerClaimTypes>
     <UserHelpText>Your middle name.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

<ClaimType Id="birthdate">
     <DisplayName>Date of Birth</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="birthdate" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's date of birth.</AdminHelpText>
     <UserHelpText>Your date of birth.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

 <ClaimType Id="gender">
     <DisplayName>Gender</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="gender" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's gender.</AdminHelpText>
     <UserHelpText>Your gender.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>
 
 <ClaimType Id="street_address">
     <DisplayName>Locality/City</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="street_address" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's full street address, which MAY include house number, street name, post office box.</AdminHelpText>
     <UserHelpText>Your street address of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

<ClaimType Id="locality">
     <DisplayName>Locality/City</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="locality" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current city or locality of residence.</AdminHelpText>
     <UserHelpText>Your current city or locality of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="region">
     <DisplayName>Province or Territory</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="region" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current province or territory of residence.</AdminHelpText>
     <UserHelpText>Your current province or territory of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="country">
     <DisplayName>Country</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="country" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current country of residence.</AdminHelpText>
     <UserHelpText>Your current country of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="dl_number">
     <DisplayName>Driver's Licence Number</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="dl_number" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's driver's licence number.</AdminHelpText>
     <UserHelpText>Your driver's licence number.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="dl_class">
     <DisplayName>Driver's Licence Class</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="dl_class" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's driver's licence class.</AdminHelpText>
     <UserHelpText>Your driver's licence class.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>
 </ClaimsSchema>

Bir kullanıcı yolculuğu ekleyin

Aşağıdaki yönergeler için kimlik sağlayıcısı ayarlanmıştır, ancak hiçbir oturum açma sayfasında yer almamaktadır. Özel bir kullanıcı yolculuğunuz yoksa şablon kullanıcı yolculuğunu kopyalayın.

  1. Başlangıç paketinden dosyayı açın TrustFrameworkBase.xml .
  2. Id= içeren SignUpOrSignIn öğesinin içeriğini bulun ve kopyalayın.
  3. TrustFrameworkExtensions.xml öğesini açın.
  4. UserJourneys öğesini bulun. Öğesi görünmüyorsa bir tane ekleyin.
  5. UserJourney öğesinin içeriğini UserJourneys öğesinin alt öğesi olarak yapıştırın.
  6. Kullanıcı yolculuğu kimliğini yeniden adlandırın, örneğin, ID=CustomSignUpSignIn.

Kimlik sağlayıcısını kullanıcı yolculuğuna ekleme

Yeni kimlik sağlayıcısını kullanıcı yolculuğuna ekleyin.

  1. Kullanıcı yolculuğunda, Type=CombinedSignInAndSignUp veya Type=ClaimsProviderSelection olan orchestration step öğesini bulun. Genellikle ilk düzenleme adımıdır. ClaimsProviderSelections öğesinde kullanıcıların oturum açması için kimlik sağlayıcılarının bir listesi bulunur. Öğelerin sırası, kullanıcının gördüğü oturum açma düğmelerinin sırasını denetler.
  2. ClaimsProviderSelection XML öğesi ekleyin.
  3. TargetClaimsExchangeId değerini kolay bir ad olarak ayarlayın.
  4. Sonraki düzenleme adımında claimsexchange öğesi ekleyin.
  5. Id değerini hedef talep değişim kimlik değeri olarak ayarlayın.
  6. vTechnicalProfileReferenceId değerini oluşturduğunuz teknik profil kimliğine güncelleştirin.

Aşağıdaki XML, kimlik sağlayıcısıyla yedi kullanıcı yolculuğu düzenleme adımını gösterir:

 <UserJourney Id="eIDME-SignUpOrSignIn">
   <OrchestrationSteps>
     <OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
       <ClaimsProviderSelections>
         <ClaimsProviderSelection TargetClaimsExchangeId="eIDMeExchange" />
        </ClaimsProviderSelections>
   </OrchestrationStep>
     <!-- Check if the user has selected to sign in using one of the social providers -->
     <OrchestrationStep Order="2" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="eIDMeExchange" TechnicalProfileReferenceId="eID-Me-OIDC" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- For social IDP authentication, attempt to find the user account in the directory. -->
     <OrchestrationStep Order="3" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
           <Value>authenticationSource</Value>
           <Value>localAccountAuthentication</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserReadUsingAlternativeSecurityId" TechnicalProfileReferenceId="AAD-UserReadUsingAlternativeSecurityId-NoError" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- Show self-asserted page only if the directory does not have the user account already (i.e. we do not have an objectId).  -->
     <OrchestrationStep Order="4" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="SelfAsserted-Social" TechnicalProfileReferenceId="SelfAsserted-Social" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- This step reads any user attributes that we may not have received when authenticating using ESTS so they can be sent in the token. -->
     <OrchestrationStep Order="5" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
           <Value>authenticationSource</Value>
           <Value>socialIdpAuthentication</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserReadWithObjectId" TechnicalProfileReferenceId="AAD-UserReadUsingObjectId" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- The previous step (SelfAsserted-Social) could have been skipped if there were no attributes to collect 
          from the user. So, in that case, create the user in the directory if one does not already exist 
          (verified using objectId which would be set from the last step if account was created in the directory. -->
     <OrchestrationStep Order="6" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserWrite" TechnicalProfileReferenceId="AAD-UserWriteUsingAlternativeSecurityId" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <OrchestrationStep Order="7" Type="SendClaims" CpimIssuerTechnicalProfileReferenceId="JwtIssuer" />
   </OrchestrationSteps>
   <ClientDefinition ReferenceId="DefaultWeb" />
 </UserJourney>

Bağımlı taraf ilkesini yapılandırın

Bağlı olan taraf ilkesi, Azure AD B2C'nin yürüttüğü kullanıcı yolculuğunu belirtir. Uygulamanıza geçirilen talepleri denetleyebilirsiniz. eID-Me-OIDC-Signup TechnicalProfile öğesinin OutputClaims öğesini ayarlayın. Aşağıdaki örnekte, uygulama kullanıcıdan posta kodu, semt, bölge, IAL, portre, ikinci ad ve doğum tarihi alır. Hesap oluşturulup oluşturulmadığını gösteren boole signupConditionsSatisfied talebi alır.

 <RelyingParty>
     <DefaultUserJourney ReferenceId="eIDMe-SignUpOrSignIn" />
     <TechnicalProfile Id="PolicyProfile">
       <DisplayName>PolicyProfile</DisplayName>
       <Protocol Name="OpenIdConnect" />
       <OutputClaims>
         <OutputClaim ClaimTypeReferenceId="displayName" />
         <OutputClaim ClaimTypeReferenceId="givenName" />
         <OutputClaim ClaimTypeReferenceId="surname" />
         <OutputClaim ClaimTypeReferenceId="email" />
         <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
         <OutputClaim ClaimTypeReferenceId="identityProvider" />
         <OutputClaim ClaimTypeReferenceId="tenantId" AlwaysUseDefaultValue="true" DefaultValue="{Policy:TenantObjectId}" />
         <OutputClaim ClaimTypeReferenceId="postalCode" PartnerClaimType="postal_code" DefaultValue="unknown postal_code" />
         <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
         <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
         <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
         <OutputClaim ClaimTypeReferenceId="picture" PartnerClaimType="thumbnail_portrait" DefaultValue="unknown portrait" />
         <OutputClaim ClaimTypeReferenceId="middle_name" PartnerClaimType="middle_name" DefaultValue="unknown middle name" />
         <OutputClaim ClaimTypeReferenceId="birthdate" PartnerClaimType="birthdate" DefaultValue="unknown DOB" />
         <OutputClaim ClaimTypeReferenceId="newUser" PartnerClaimType="signupConditionsSatisfied" DefaultValue="false" />
       </OutputClaims>
       <SubjectNamingInfo ClaimType="sub" />
     </TechnicalProfile>
   </RelyingParty>

Özel ilkeyi karşıya yükle

Aşağıdaki yönergeler için Azure AD B2C kiracısıyla ilgili dizini kullanın.

  1. Azure portalınaoturum açın.
  2. Portal araç çubuğunda Dizinler + abonelikler'i seçin.
  3. Portal ayarları, Dizinler + abonelikler sayfasındaki Dizin adı listesinde Azure AD B2C dizinini bulun.
  4. Değiştir'i seçin.
  5. Azure portalında Azure AD B2C'yi arayın ve seçin.
  6. İlkeler altında Kimlik Deneyimi Çerçevesi'ni seçin.
  7. Özel Politika Yükle seçin.
  8. Değiştirdiğiniz iki ilke dosyasını aşağıdaki sırayla karşıya yükleyin:
  • Uzantı politikası, örneğin TrustFrameworkBase.xml
  • Güvenen taraf ilkesi, örneğin SignUp.xml

Özel ilkeyi test edin

  1. Bağlı olan taraf ilkesini seçin, örneğin B2C_1A_signup.
  2. Uygulama için kaydettiğiniz bir web uygulamasını seçin.
  3. Yanıt URL'si şeklindedirhttps://jwt.ms.
  4. Şimdi Çalıştır'ı seçin.
  5. Kaydolma ilkesi eID-Me'yi çağırır.
  6. Oturum açmak için eID-Me'yi seçin.
  7. Tarayıcı https://jwt.ms adresine yeniden yönlendirir.
  8. Azure AD B2C tarafından döndürülen belirteç içeriği görüntülenir.

Daha fazla bilgi edinin: Öğretici: Azure AD B2C'de web uygulaması kaydetme

Sonraki adımlar

  • Last updated on