Aracılığıyla paylaş

Kimlik doğrulaması için Bluink eID-Me ile Azure Active Directory B2C'yi yapılandırma

  • Makale

Başlamadan önce

Azure Active Directory B2C (Azure AD B2C), kullanıcıların uygulamalarla etkileşimlerini tanımlamak için iki yönteme sahiptir: önceden tanımlanmış kullanıcı akışları veya yapılandırılabilir özel ilkeler. Özel ilkeler karmaşık senaryoları ele alır. Çoğu senaryo için kullanıcı akışlarını öneririz. Bkz. Kullanıcı akışlarına ve özel ilkelere genel bakış

Azure AD B2C kimlik doğrulamayı eID-Me ile tümleştirme

Azure AD B2C kimlik doğrulamasını Kanada vatandaşları için kimlik doğrulama ve merkezi olmayan dijital kimlik çözümü bluink eID-Me ile tümleştirmeyi öğrenin. eID-Me ile Azure AD B2C kiracıları kullanıcı kimliğini doğrular, doğrulanmış kaydolma ve oturum açma kimliği taleplerini alır. Tümleştirme, çok faktörlü kimlik doğrulamasını ve güvenli bir dijital kimlikle parolasız oturum açmayı destekler. Kuruluşlar Kimlik Güvencesi Düzeyi (IAL) 2 ve Müşterinizi Tanıma (KYC) gereksinimlerini karşılayabilir.

Daha fazla bilgi edinmek için bluink.ca: Bluink Ltd sayfasına gidin

Ön koşullar

Başlamak için gerekli olanlar:

Ayrıca bkz. Öğretici: Azure AD B2C'de kullanıcı akışları ve özel ilkeler oluşturma.

Senaryo açıklaması

eID-Me, OpenID Connect (OIDC) kimlik sağlayıcısı olarak Azure AD B2C ile tümleşir. Aşağıdaki bileşenler Azure AD B2C ile eID-Me çözümünü içerir:

  • Azure AD B2C kiracısı - eID-Me'de bağlı olan taraf olarak yapılandırılmış olan eID-Me, kaydolma ve oturum açma için Azure AD B2C kiracısına güvenmesini sağlar
  • B2C kiracı uygulamasını Azure AD - kiracıların Azure AD B2C kiracı uygulamasına ihtiyacı olduğu varsayımı
    • Uygulama, işlem sırasında Azure AD B2C tarafından alınan kimlik taleplerini alır
  • eID-Me akıllı telefon uygulamaları - Azure AD B2C kiracı kullanıcılarının iOS veya Android için uygulamaya ihtiyacı var
  • Verilen eID-Me dijital kimlikler - eID-Me kimlik doğrulamasından
    • Kullanıcılara uygulamadaki dijital cüzdana dijital kimlik verilir. Geçerli kimlik belgeleri gereklidir.

eID-Me uygulamaları, işlemler sırasında kullanıcıların kimliğini doğrular. X509 ortak anahtar kimlik doğrulaması, eID-Me dijital kimliğinde özel imzalama anahtarı kullanarak parolasız MFA sağlar.

Aşağıdaki diyagramda, Azure AD B2C akışlarının dışında gerçekleşen eID-Me kimlik doğrulaması gösterilmektedir.

eID-Me'deki kimlik denetleme akışının diyagramı.

  1. Kullanıcı, eID-Me akıllı telefon uygulamasına bir özçekim yükler.
  2. Kullanıcı, kamu tarafından verilen pasaport veya sürücü belgesi gibi bir kimlik belgesini tarar ve eID-Me akıllı telefon uygulamasına yükler.
  3. eID-Me doğrulama için kimlik hizmetine veri gönderir.
  4. Kullanıcıya uygulamaya kaydedilen bir dijital kimlik verilir.

Aşağıdaki diyagramda eID-Me ile Azure AD B2C tümleştirmesi gösterilmektedir.

eID-Me ile Azure AD B2C tümleştirmesinin diyagramı.

  1. Kullanıcı Azure AD B2C oturum açma sayfasını açar ve oturum açar veya bir kullanıcı adıyla kaydolr.
  2. Kullanıcı Azure AD B2C oturum açma ve kaydolma ilkesine iletildi.
  3. Azure AD B2C, OIDC yetkilendirme kodu akışını kullanarak kullanıcıyı eID-Me kimlik yönlendiricisine yönlendirir.
  4. Yönlendirici, kimlik doğrulaması ve yetkilendirme isteği ayrıntılarıyla birlikte kullanıcı mobil uygulamasına anında iletme bildirimi gönderir.
  5. Kullanıcı kimlik doğrulaması sınaması görünür, ardından kimlik talepleri için bir istem görüntülenir.
  6. Sınama yanıtı yönlendiriciye gider.
  7. Yönlendirici, Azure AD B2C'yi bir kimlik doğrulama sonucuyla yanıtlar.
  8. Azure AD B2C Kimlik belirteci yanıtı uygulamaya gider.
  9. Kullanıcıya erişim izni verilir veya erişim reddedilir.

eID-Me kullanmaya başlama

Bağlı olan taraf olarak Azure AD B2C kiracılarını ayarlamak üzere bir test veya üretim ortamı yapılandırma hedefiyle bir tanıtım istemek için bluink.ca Bize Ulaşın sayfasına gidin. Kiracılar, eID-Me ile kaydolan tüketicilerin ihtiyaç duyduğu kimlik taleplerini belirler.

eID-Me'de uygulama yapılandırma

Kiracı uygulamanızı eID-Me'de eID-ME bağlı olan taraf olarak yapılandırmak için aşağıdaki bilgileri sağlayın:

Özellik Açıklama
Ad B2C veya başka bir uygulama adı Azure AD
Etki alanı name.onmicrosoft.com
Yeniden yönlendirme URI'leri https://jwt.ms
Yeniden Yönlendirme URL'leri https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp
Örneğin: https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp
Özel bir etki alanı için https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp.
Uygulama giriş sayfası URL'si Son kullanıcıya görünür
Uygulama gizlilik ilkesi URL'si Son kullanıcıya görünür

Not

Bağlı olan taraf yapılandırıldığında, ID-Me bir İstemci Kimliği ve bir İstemci Gizli Anahtarı sağlar. Azure AD B2C'de kimlik sağlayıcısını (IdP) yapılandırmak için İstemci Kimliği ve gizli anahtarına dikkat edin.

Azure AD B2C'de yeni kimlik sağlayıcısı ekleme

Aşağıdaki yönergeler için dizini Azure AD B2C kiracısıyla kullanın.

  1. Azure AD B2C kiracısının Genel Yöneticisi olarak Azure portal oturum açın.
  2. Üstteki menüde Dizin + abonelik'i seçin.
  3. Kiracının olduğu dizini seçin.
  4. Azure portal sol üst köşesinde Tüm hizmetler'i seçin.
  5. Azure AD B2C'yi arayın ve seçin.
  6. Pano>Azure Active Directory B2C>Kimlik sağlayıcıları'na gidin.
  7. Yeni OpenID Connect Sağlayıcısı'yı seçin.
  8. Add (Ekle) seçeneğini belirleyin.

Kimlik sağlayıcısı yapılandırma

Kimlik sağlayıcısını yapılandırmak için:

  1. Kimlik sağlayıcısı türüOpenID Connect'i> seçin.
  2. Kimlik sağlayıcısı formunda, Ad alanına eID-Me Parolasız veya başka bir ad girin.
  3. İstemci Kimliği için eID-Me'den İstemci Kimliğini girin.
  4. gizli dizi için eID-Me'den gizli anahtarı girin.
  5. Kapsam için openid e-posta profili'ne tıklayın.
  6. Yanıt türü içinkod'u seçin.
  7. Yanıt modu içinform gönderisi'ne tıklayın.
  8. Tamam’ı seçin.
  9. Bu kimlik sağlayıcısının taleplerini eşle'yi seçin.
  10. Kullanıcı Kimliği için sub kullanın.
  11. Görünen ad için name kullanın.
  12. Verilen ad için given_name kullanın.
  13. Soyadı için family_name kullanın.
  14. Email için e-postayı kullanın.
  15. Kaydet’i seçin.

Multi-Factor Authentication’ı yapılandırma

eID-Me çok faktörlü kimlik doğrulayıcıdır, bu nedenle kullanıcı akışı çok faktörlü kimlik doğrulaması yapılandırması gerekmez.

Kullanıcı akışı ilkesi oluşturma

Aşağıdaki yönergeler için eID-Me, B2C kimlik sağlayıcılarında yeni bir OIDC kimlik sağlayıcısı olarak görünür.

  1. Azure AD B2C kiracısında, İlkeler'in altında Kullanıcı akışları'nı seçin.
  2. Yeni kullanıcı akışı'ı seçin.
  3. Kaydol'u seçin veSürüm>Oluşturma'da> oturumaçın.
  4. İlke Adı girin.
  5. Kimlik sağlayıcıları bölümünde oluşturulan eID-Me kimlik sağlayıcısını seçin.
  6. Yerel Hesaplar için Yok'u seçin. Seçim, e-posta ve parola kimlik doğrulamasını devre dışı bırakır.
  7. Kullanıcı akışını çalıştır'ı seçin.
  8. Gibi https://jwt.msbir Yanıt URL'si girin.
  9. Tarayıcı eID-Me oturum açma sayfasına yönlendirilir.
  10. Kullanıcı kaydındaki hesap adını girin.
  11. Kullanıcı, eID-Me ile mobil cihazda anında iletme bildirimi alır.
  12. Bir kimlik doğrulama sınaması görüntülenir.
  13. Sınama kabul edilir ve tarayıcı yanıtlayan URL'ye yönlendirilir.

Not

Azure Active Directory B2C (Azure AD B2C), kullanıcıların uygulamalarla etkileşimlerini tanımlamak için iki yönteme sahiptir: önceden tanımlanmış kullanıcı akışları veya yapılandırılabilir özel ilkeler. Özel ilkeler karmaşık senaryoları ele alır. Çoğu senaryo için kullanıcı akışlarını öneririz. Bkz. Kullanıcı akışlarına ve özel ilkelere genel bakış

İlke anahtarı oluşturma

kaydettiğiniz gizli anahtarı Azure AD B2C kiracınızda depolayın. Aşağıdaki yönergeler için dizini Azure AD B2C kiracısıyla kullanın.

  1. Azure Portal’ında oturum açın.
  2. Portal araç çubuğunda Dizinler + abonelikler'i seçin.
  3. Portal ayarları, Dizinler + abonelikler sayfasındaki Dizin adı listesinde Azure AD B2C dizininizi bulun.
  4. Değiştir'i seçin.
  5. Azure portal sol üst köşesinde Tüm hizmetler'i seçin.
  6. Azure AD B2C'yi arayın ve seçin.
  7. Genel Bakış sayfasında Kimlik Deneyimi Çerçevesi'ni seçin.
  8. İlke Anahtarları'nı seçin.
  9. Add (Ekle) seçeneğini belirleyin.
  10. Seçenekler için El ile'yi seçin.
  11. İlke anahtarı için bir Ad girin. Örneğin, eIDMeClientSecret. Ön ek B2C_1A_ anahtar adına eklenir.
  12. Gizli dizi alanına, not ettiğiniz Gizli Anahtarı girin.
  13. Anahtar kullanımı için İmza'yı seçin.
  14. Oluştur’u seçin.

Kimlik sağlayıcısı olarak eID-Me'yi yapılandırma

Kullanıcıların eID-Me ile oturum açmasını sağlamak için eID-Me'yi talep sağlayıcısı olarak tanımlayın. Azure AD B2C bir uç nokta üzerinden onunla iletişim kurar. Uç nokta, Azure AD B2C tarafından cihazlarında dijital kimlikle kullanıcı kimlik doğrulamasını doğrulamak için kullanılan talepleri sağlar.

eID-Me'yi talep sağlayıcısı olarak tanımlamak için ilke uzantısı dosyasındaki ClaimsProvider öğesine ekleyin.

  1. TrustFrameworkExtensions.xmluygulamasını açın.

  2. ClaimsProviders öğesini bulun. Görünmezse kök öğesinin altına ekleyin.

  3. Yeni bir ClaimsProvider ekleyin:

       <ClaimsProvider>
   <Domain>eID-Me</Domain>
   <DisplayName>eID-Me</DisplayName>
   <TechnicalProfiles>
     <TechnicalProfile Id="eID-Me-OIDC">
       <!-- The text in the following DisplayName element is shown to the user on the claims provider 
selection screen. -->
       <DisplayName>eID-Me for Sign In</DisplayName>
       <Protocol Name="OpenIdConnect" />
       <Metadata>
         <Item Key="ProviderName">https://eid-me.bluink.ca</Item>
         <Item Key="METADATA">https://demoeid.bluink.ca/.well-known/openid-configuration</Item>
         <Item Key="response_types">code</Item>
         <Item Key="scope">openid email profile</Item>
         <Item Key="response_mode">form_post</Item>
         <Item Key="HttpBinding">POST</Item>
         <Item Key="token_endpoint_auth_method">client_secret_post</Item>
         <Item Key="client_id">eid_me_rp_client_id</Item>
         <Item Key="UsePolicyInRedirectUri">false</Item>
       </Metadata>
       <CryptographicKeys>
         <Key Id="client_secret" StorageReferenceId="B2C_1A_eIDMeClientSecret" />
       </CryptographicKeys>
       <InputClaims />
       <OutputClaims>
         <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
         <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" />
         <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
         <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
         <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
         <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
         <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
         <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
         <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
         <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
         <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
       </OutputClaims>
       <OutputClaimsTransformations>
         <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
         <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
         <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
         <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
       </OutputClaimsTransformations>
       <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
     </TechnicalProfile>
   </TechnicalProfiles>
 </ClaimsProvider>

  4. eid_me_rp_client_id için eID-Me bağlı olan taraf İstemci Kimliğini girin.

  5. Kaydet’i seçin.

Desteklenen kimlik talepleri

eID-Me tarafından desteklenen daha fazla kimlik talebi ekleyebilirsiniz.

  1. TrustFrameworksExtension.xmluygulamasını açın.
  2. BuildingBlocks öğesini bulun.

Not

İyi bilinen/openid-configuration üzerinde OIDC tanımlayıcılarıyla OID deposunda desteklenen eID-Me kimlik talep listelerini bulun.

<BuildingBlocks>
<ClaimsSchema>
 <ClaimType Id="IAL">
     <DisplayName>Identity Assurance Level</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="identity_assurance_level_achieved" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</AdminHelpText>
     <UserHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</UserHelpText>
     <UserInputType>Readonly</UserInputType>
   </ClaimType>

<ClaimType Id="picture">
     <DisplayName>Portrait Photo</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="thumbnail_portrait" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The portrait photo of the user.</AdminHelpText>
     <UserHelpText>Your portrait photo.</UserHelpText>
     <UserInputType>Readonly</UserInputType>
   </ClaimType>

 <ClaimType Id="middle_name">
     <DisplayName>Portrait Photo</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="middle_name" />
     </DefaultPartnerClaimTypes>
     <UserHelpText>Your middle name.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

<ClaimType Id="birthdate">
     <DisplayName>Date of Birth</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="birthdate" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's date of birth.</AdminHelpText>
     <UserHelpText>Your date of birth.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

 <ClaimType Id="gender">
     <DisplayName>Gender</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="gender" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's gender.</AdminHelpText>
     <UserHelpText>Your gender.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>
 
 <ClaimType Id="street_address">
     <DisplayName>Locality/City</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="street_address" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's full street address, which MAY include house number, street name, post office box.</AdminHelpText>
     <UserHelpText>Your street address of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

<ClaimType Id="locality">
     <DisplayName>Locality/City</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="locality" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current city or locality of residence.</AdminHelpText>
     <UserHelpText>Your current city or locality of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="region">
     <DisplayName>Province or Territory</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="region" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current province or territory of residence.</AdminHelpText>
     <UserHelpText>Your current province or territory of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="country">
     <DisplayName>Country</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="country" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current country of residence.</AdminHelpText>
     <UserHelpText>Your current country of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="dl_number">
     <DisplayName>Driver's Licence Number</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="dl_number" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's driver's licence number.</AdminHelpText>
     <UserHelpText>Your driver's licence number.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="dl_class">
     <DisplayName>Driver's Licence Class</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="dl_class" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's driver's licence class.</AdminHelpText>
     <UserHelpText>Your driver's licence class.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>
 </ClaimsSchema>

Kullanıcı yolculuğu ekleme

Aşağıdaki yönergeler için kimlik sağlayıcısı ayarlanır, ancak hiçbir oturum açma sayfasında ayarlanmaz. Özel bir kullanıcı yolculuğunuz yoksa, şablon kullanıcı yolculuğunu kopyalayın.

  1. Başlangıç paketinden dosyayı açın TrustFrameworkBase.xml .
  2. ID=SignUpOrSignIn içeren UserJourneys öğesinin içeriğini bulun ve kopyalayın.
  3. TrustFrameworkExtensions.xmluygulamasını açın.
  4. UserJourneys öğesini bulun. Öğe görünmüyorsa bir tane ekleyin.
  5. UserJourney öğesinin içeriğini UserJourneys öğesinin alt öğesi olarak yapıştırın.
  6. Kullanıcı yolculuğu kimliğini yeniden adlandırın, örneğin, ID=CustomSignUpSignIn.

Kimlik sağlayıcısını kullanıcı yolculuğuna ekleme

Yeni kimlik sağlayıcısını kullanıcı yolculuğuna ekleyin.

  1. Kullanıcı yolculuğunda, Type= veya TypeClaimsProviderSelection=CombinedSignInAndSignUp ile düzenleme adımı öğesini bulun. Bu genellikle ilk düzenleme adımıdır. ClaimsProviderSelections öğesinde kullanıcıların oturum açma kimlik sağlayıcılarının bir listesi vardır. Öğelerin sırası, kullanıcının gördüğü oturum açma düğmelerinin sırasını denetler.
  2. ClaimsProviderSelection XML öğesi ekleyin.
  3. TargetClaimsExchangeId değerini kolay bir ad olarak ayarlayın.
  4. Sonraki düzenleme adımında ClaimsExchange öğesi ekleyin.
  5. Kimliği hedef talepler değişim kimliği değerine ayarlayın.
  6. vTechnicalProfileReferenceId değerini oluşturduğunuz teknik profil kimliğine güncelleştirin.

Aşağıdaki XML, kimlik sağlayıcısıyla yedi kullanıcı yolculuğu düzenleme adımını gösterir:

 <UserJourney Id="eIDME-SignUpOrSignIn">
   <OrchestrationSteps>
     <OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
       <ClaimsProviderSelections>
         <ClaimsProviderSelection TargetClaimsExchangeId="eIDMeExchange" />
        </ClaimsProviderSelections>
   </OrchestrationStep>
     <!-- Check if the user has selected to sign in using one of the social providers -->
     <OrchestrationStep Order="2" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="eIDMeExchange" TechnicalProfileReferenceId="eID-Me-OIDC" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- For social IDP authentication, attempt to find the user account in the directory. -->
     <OrchestrationStep Order="3" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
           <Value>authenticationSource</Value>
           <Value>localAccountAuthentication</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserReadUsingAlternativeSecurityId" TechnicalProfileReferenceId="AAD-UserReadUsingAlternativeSecurityId-NoError" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- Show self-asserted page only if the directory does not have the user account already (i.e. we do not have an objectId).  -->
     <OrchestrationStep Order="4" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="SelfAsserted-Social" TechnicalProfileReferenceId="SelfAsserted-Social" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- This step reads any user attributes that we may not have received when authenticating using ESTS so they can be sent in the token. -->
     <OrchestrationStep Order="5" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
           <Value>authenticationSource</Value>
           <Value>socialIdpAuthentication</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserReadWithObjectId" TechnicalProfileReferenceId="AAD-UserReadUsingObjectId" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- The previous step (SelfAsserted-Social) could have been skipped if there were no attributes to collect 
          from the user. So, in that case, create the user in the directory if one does not already exist 
          (verified using objectId which would be set from the last step if account was created in the directory. -->
     <OrchestrationStep Order="6" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserWrite" TechnicalProfileReferenceId="AAD-UserWriteUsingAlternativeSecurityId" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <OrchestrationStep Order="7" Type="SendClaims" CpimIssuerTechnicalProfileReferenceId="JwtIssuer" />
   </OrchestrationSteps>
   <ClientDefinition ReferenceId="DefaultWeb" />
 </UserJourney>

Bağlı olan taraf ilkesini yapılandırma

Bağlı olan taraf ilkesi, B2C'nin yürüttüğü Azure AD kullanıcı yolculuğunu belirtir. Uygulamanıza geçirilen talepleri denetleyebilirsiniz. eID-Me-OIDC-Signup TechnicalProfile öğesinin OutputClaims öğesini ayarlayın. Aşağıdaki örnekte uygulama kullanıcı posta kodu, yerellik, bölge, IAL, dikey, ikinci ad ve doğum tarihini alır. Hesap oluşturulup oluşturulmadığını gösteren boolean signupConditionsSatisfied talebi alır.

 <RelyingParty>
     <DefaultUserJourney ReferenceId="eIDMe-SignUpOrSignIn" />
     <TechnicalProfile Id="PolicyProfile">
       <DisplayName>PolicyProfile</DisplayName>
       <Protocol Name="OpenIdConnect" />
       <OutputClaims>
         <OutputClaim ClaimTypeReferenceId="displayName" />
         <OutputClaim ClaimTypeReferenceId="givenName" />
         <OutputClaim ClaimTypeReferenceId="surname" />
         <OutputClaim ClaimTypeReferenceId="email" />
         <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
         <OutputClaim ClaimTypeReferenceId="identityProvider" />
         <OutputClaim ClaimTypeReferenceId="tenantId" AlwaysUseDefaultValue="true" DefaultValue="{Policy:TenantObjectId}" />
         <OutputClaim ClaimTypeReferenceId="postalCode" PartnerClaimType="postal_code" DefaultValue="unknown postal_code" />
         <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
         <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
         <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
         <OutputClaim ClaimTypeReferenceId="picture" PartnerClaimType="thumbnail_portrait" DefaultValue="unknown portrait" />
         <OutputClaim ClaimTypeReferenceId="middle_name" PartnerClaimType="middle_name" DefaultValue="unknown middle name" />
         <OutputClaim ClaimTypeReferenceId="birthdate" PartnerClaimType="birthdate" DefaultValue="unknown DOB" />
         <OutputClaim ClaimTypeReferenceId="newUser" PartnerClaimType="signupConditionsSatisfied" DefaultValue="false" />
       </OutputClaims>
       <SubjectNamingInfo ClaimType="sub" />
     </TechnicalProfile>
   </RelyingParty>

Özel ilkeyi karşıya yükleme

Aşağıdaki yönergeler için dizini Azure AD B2C kiracısıyla kullanın.

  1. Azure Portal’ında oturum açın.
  2. Portal araç çubuğunda Dizinler + abonelikler'i seçin.
  3. Portal ayarları, Dizinler + abonelikler sayfasındaki Dizin adı listesinde Azure AD B2C dizinini bulun.
  4. Değiştir'i seçin.
  5. Azure portal Azure AD B2C'yi arayın ve seçin.
  6. İlkeler'in altında Kimlik Deneyimi Çerçevesi'ne tıklayın.
  7. Özel İlkeyi Karşıya Yükle'yi seçin.
  8. Değiştirdiğiniz iki ilke dosyasını aşağıdaki sırayla karşıya yükleyin:
  • Uzantı ilkesi, örneğin TrustFrameworkBase.xml
  • Bağlı olan taraf ilkesi, örneğin SignUp.xml

Özel ilkeyi test etme

  1. Bağlı olan taraf ilkesini seçin, örneğin B2C_1A_signup.
  2. Uygulama için kaydettiğiniz bir web uygulamasını seçin.
  3. Yanıt URL'si şeklindedirhttps://jwt.ms.
  4. Şimdi çalıştır'ı seçin.
  5. Kaydolma ilkesi eID-Me'yi çağırır.
  6. Oturum açmak için eID-Me'yi seçin.
  7. Tarayıcı adresine https://jwt.msyeniden yönlendirir.
  8. Azure AD B2C tarafından döndürülen belirteç içeriği görüntülenir.

Daha fazla bilgi edinin: Öğretici: Azure AD B2C'de web uygulaması kaydetme

Sonraki adımlar