Öğretici: Azure Active Directory B2C ile IDEMIA Mobil Kimliğini Yapılandırma

Başlamadan önce

Azure Active Directory B2C (Azure AD B2C), kullanıcıların uygulamalarla etkileşimlerini tanımlamak için iki yönteme sahiptir: önceden tanımlanmış kullanıcı akışları veya yapılandırılabilir özel ilkeler. Bkz. Kullanıcı akışlarına ve özel ilkelere genel bakış

Azure AD B2C'yi IDEMIA Mobile ID ile tümleştirme

IDEMIA, yüz kimliği ve parmak izi gibi biyometrik kimlik doğrulama hizmetleri sağlayarak sahtekarlığı ve kimlik bilgilerinin yeniden kullanılmasını azaltır. Mobil Kimlik ile vatandaşlar, fiziksel kimliklerine tamamlayıcı olarak güvenilir, devlet tarafından verilen bir dijital kimlikten yararlanmaktadır. Mobile ID kendi kendine seçilen pin, touch ID veya face ID kullanarak kimliği doğrular. Vatandaşlar, bir işlem için gereken bilgileri paylaşarak kimliklerini denetler. Birçok motorlu taşıt departmanı (DMV) Mobil Kimlik kullanır.

Daha fazla bilgi edinmek için idemia.com: IDEMIA sayfasına gidin

Senaryo açıklaması

Mobil kimlik tümleştirmesi aşağıdaki bileşenleri içerir:

• Azure AD B2C – kullanıcı kimlik bilgilerini doğrulayan yetkilendirme sunucusu
  • Kimlik sağlayıcısı (IdP) olarak da bilinir
• IDEMIA Mobil Kimliği - Azure AD B2C dış sağlayıcısı olarak yapılandırılmış OpenID Connect (OIDC) sağlayıcısı
  • Bkz. Azure AD B2C kiracınıza kimlik sağlayıcısı ekleme
• IDEMIA Mobil Kimlik uygulaması - telefonunuzdaki bir uygulamada sürücü lisansının veya durum bilgisi verilen kimliğin dijital sürümü
  • Bkz. IDEMIA Mobil Kimliği

Mobil Kimlik, DMV'lerin tek tek kimlikleri doğrulamak için kullandığı taşınabilir bir mobil kimlik belirteci olan dijitalleştirilmiş bir kimlik belgesidir. İmzalı dijitalleştirilmiş kimlik, kullanıcı cep telefonlarında uçta bir kimlik olarak depolanır. İmzalı kimlik bilgileri yaş kanıtı, müşterinizi finansal olarak tanıma, hesap erişimi gibi kimlik hizmetlerine erişimi kolaylaştırır.

Aşağıdaki diyagramda Mobil Kimlik ile kaydolma ve oturum açma kullanıcı akışları gösterilmektedir.

1. Kullanıcı, işlem gerçekleştirmek için Azure AD B2C oturum açma sayfasını (yanıtlayan taraf) cihazı ve Mobil Kimliği ile ziyaret eder.
2. Azure AD B2C kimlik denetimi gerçekleştirir. Kullanıcıyı OIDC yetkilendirme kodu akışıyla IDEMIA yönlendiricisine yönlendirir.
3. Yönlendirici, kimlik doğrulaması ve yetkilendirme isteği ayrıntılarıyla kullanıcının mobil uygulamasına biyometrik bir sınama gönderir.
4. Güvenliğe bağlı olarak, kullanıcıdan daha fazla ayrıntı sağlaması istenebilir: PIN girme, canlı selfie çekme veya her ikisi.
5. Kimlik doğrulama yanıtı sahiplik, varlık ve onay kanıtı sağlar. Yanıt yönlendiriciye döner.
6. Yönlendirici kullanıcı bilgilerini doğrular ve sonuçla Azure AD B2C'yi yanıtlar.
7. Kullanıcıya erişim izni verilir veya erişim reddedilir.

Mobil Kimliği Etkinleştir

Başlamak için idemia.com İletişime geçin sayfasına giderek bir tanıtım isteyin. İstek formu metin alanında, Azure AD B2C tümleştirmesine ilginizi belirtin.

Mobil Kimliği Azure AD B2C ile tümleştirme

Tümleştirme işlemlerine hazırlanmak ve bunları gerçekleştirmek için aşağıdaki bölümleri kullanın.

Önkoşullar

Başlamak için gerekli olanlar:

• IDEMIA, ABD tarafından verilen Mobil Kimlik kimlik bilgilerine (mID) sahip kullanıcılara erişim

  • Veya test aşamasında, IDEMIA'dan mID tanıtım uygulaması

• Bir Azure aboneliği

  • Hesabınız yoksa ücretsiz Bir Azure hesabı edinin

• Azure aboneliğine bağlı Azure AD B2C kiracısı

• Azure AD B2C kiracısında kayıtlı iş web uygulamanız

  • Test için kodunu çözülen belirteç içeriğine sahip bir Microsoft web uygulaması olarak yapılandırın https://jwt.ms

  Not

  Belirteç içeriği tarayıcınızdan ayrılmaz.

mID için bağlı olan taraf uygulaması gönderme

Mobil Kimlik tümleştirmesi sırasında aşağıdaki bilgiler sağlanır.

Özellik	Açıklama
Uygulama Adı	B2C veya başka bir uygulama adı Azure AD
Client_ID	Kimlik sağlayıcısının benzersiz tanımlayıcısı (IdP)
İstemci Gizli Anahtarı	Bağlı olan taraf uygulamasının IDEMIA IdP ile kimlik doğrulaması yapmak için kullandığı parola
Meta veri uç noktası	OpenID iyi bilinen yapılandırma uç noktası olarak da bilinen belirteç veren yapılandırma belgesine işaret eden url
Yeniden yönlendirme URI'leri	https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp Örneğin, https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp Özel bir etki alanı kullanıyorsanız girin https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp.
Oturum kapatma sonrası yeniden yönlendirme URI'leri	https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/{policy}/oauth2/v2.0/logout Oturumu kapatma isteği gönderin.

Not

IdP'yi Azure AD B2C'de yapılandırmak için daha sonra İstemci Kimliği ve İstemci Gizli Anahtarı gerekir.

İlke anahtarı oluşturma

Not edilen IDEMIA gizli dizisini Azure AD B2C kiracınızda depolayın. Aşağıdaki yönergeler için dizini Azure AD B2C kiracınızla birlikte kullanın.

1. Azure Portal’ında oturum açın.
2. Portal araç çubuğunda Dizinler + abonelikler'i seçin.
3. Portal ayarları, Dizinler + abonelikler sayfasında, Dizin adı listesinde Azure AD B2C dizininizi bulun
4. Değiştir'i seçin.
5. Azure portal sol üst köşesinde Tüm hizmetler'i seçin.
6. Azure AD B2C'yi arayın ve seçin.
7. Genel Bakış sayfasında Kimlik Deneyimi Çerçevesi'ni seçin.
8. İlke Anahtarları'nı seçin.
9. Add (Ekle) seçeneğini belirleyin.
10. Seçenekler için El ile'yi seçin.
11. İlke anahtarı için bir Ad girin. Örneğin, IdemiaAppSecret. Ön ek B2C_1A_ anahtar adına eklenir.
12. Gizli dizi alanına, not ettiğiniz Gizli Anahtarı girin.
13. Anahtar kullanımı için İmza'yı seçin.
14. Oluştur’u seçin.

Mobil Kimliği Dış IdP olarak yapılandırma

Kullanıcıların Mobil Kimlik ile oturum açmasını sağlamak için IDEMIA'yı bir talep sağlayıcısı olarak tanımlayın. Bu eylem, Azure AD B2C'nin bir uç nokta üzerinden iletişim kurmasını sağlar ve bu da B2C'nin biyometri ile kullanıcı kimlik doğrulamasını doğrulamak için kullandığı talepleri Azure AD sağlar.

IDEMIA'yı bir talep sağlayıcısı olarak tanımlamak için ilke uzantısı dosyasındaki ClaimsProvider öğesine ekleyin.

     <TechnicalProfile Id="Idemia-Oauth2">
          <DisplayName>IDEMIA</DisplayName>
          <Description>Login with your IDEMIA identity</Description>
          <Protocol Name="OAuth2" />
          <Metadata>
            <Item Key="METADATA">https://idp.XXXX.net/oxauth/.well-known/openid-configuration</Item>
            <!-- Update the Client ID below to the Application ID -->
            <Item Key="client_id">00000000-0000-0000-0000-000000000000</Item>
            <Item Key="response_types">code</Item>
            <Item Key="scope">openid id_basic mt_scope</Item>
            <Item Key="response_mode">form_post</Item>
            <Item Key="HttpBinding">POST</Item>
            <Item Key="UsePolicyInRedirectUri">false</Item>
            <Item Key="token_endpoint_auth_method">client_secret_basic</Item>
            <Item Key="ClaimsEndpoint">https://idp.XXXX.net/oxauth/restv1/userinfo</Item>
            <Item Key="ValidTokenIssuerPrefixes">https://login.microsoftonline.com/</Item>
          </Metadata>
          <CryptographicKeys>
            <Key Id="client_secret" StorageReferenceId="B2C_1A_IdemiaAppSecret" />
</CryptographicKeys>
          <InputClaims>
            <InputClaim ClaimTypeReferenceId="acr" PartnerClaimType="acr_values" DefaultValue="loa-2" />
          </InputClaims>
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
            <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" />
            <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="firstName1" />
            <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="lastName1" />
            <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
            <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="idemia" />
            <OutputClaim ClaimTypeReferenceId="documentId" />
            <OutputClaim ClaimTypeReferenceId="address1" />
          </OutputClaims>
          <OutputClaimsTransformations>
            <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
            <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
            <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
            <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
          </OutputClaimsTransformations>
          <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
        </TechnicalProfile>
           

client_id uygulama kaydından uygulama kimliğine ayarlayın.

Özellik	Açıklama
Kapsam	OpenID Connect (OIDC) için minimum gereksinim, kapsam parametresini openid olarak ayarlar. Daha fazla kapsamı boşlukla ayrılmış liste olarak ekleyin.
redirect_uri	Bu konum, kullanıcı aracısı yetkilendirme kodunu Azure AD B2C'ye gönderir.
response_type	Yetkilendirme kodu akışı için kod seçin
acr_values	Bu parametre, kullanıcının kimlik doğrulaması sırasında gerçekleştirmesi gereken kimlik doğrulama yöntemlerini denetler.

Aşağıdaki değerlerden birini seçin:

Parametre değeri	Kullanıcı kimlik doğrulama işlemi üzerindeki etkisi
loa-2	Yalnızca şifreleme tabanlı Microsoft Entra çok faktörlü kimlik doğrulaması
loa-3	Şifreleme tabanlı MFA ve başka bir faktör
loa-4	Şifreleme tabanlı MFA'nın yanı sıra kullanıcı PIN ve biyometrik kimlik doğrulaması gerçekleştirir

/userinfo uç noktası, yetkilendirme isteğinde istenen kapsamlar için talepleri sağlar. <mt_scope>, diğer öğelerin yanında Ad, Soyadı ve Sürücü Lisans Numarası gibi talepler vardır. Kapsam için ayarlanan talepler bulma API'sinin scope_to_claims_mapping bölümünde yayımlanır. Azure AD B2C, talep uç noktasından talep isteğinde bulunur ve bunları OutputClaims öğesinde döndürür. İlkenizdeki talep adını IdP'deki adla eşlemeniz gerekebilir. Talep türünü ClaimSchema öğesinde tanımlayın:

<ClaimType Id="documentId">
     <DisplayName>documentId</DisplayName>
     <DataType>string</DataType>
</ClaimType>
<ClaimType Id="address1">
     <DisplayName>address</DisplayName>
     <DataType>string</DataType>
</ClaimType>

Kullanıcı yolculuğu ekleme

Bu yönergeler için IdP ayarlanır, ancak herhangi bir oturum açma sayfasında yer almaz. Özel bir kullanıcı yolculuğunuz yoksa şablon kullanıcı yolculuğunu kopyalayın.

1. Başlangıç paketinden dosyayı açın TrustFrameworkBase.xml .
2. öğesini içeren öğesinin UserJourneysID=SignUpOrSignIniçeriğini bulun ve kopyalayın.
3. TrustFrameworkExtensions.xmluygulamasını açın.
4. UserJourneys öğesini bulun. Öğe yoksa bir öğe ekleyin.
5. UserJourney öğesinin içeriğini UserJourneys öğesinin alt öğesi olarak yapıştırın.
6. Kullanıcı yolculuğu kimliğini yeniden adlandırın. Örneğin, ID=CustomSignUpSignIn.

IdP'yi kullanıcı yolculuğuna ekleme

Bir kullanıcı yolculuğu varsa, yeni IdP'yi ekleyin. Önce bir oturum açma düğmesi ekleyin, ardından bunu oluşturduğunuz teknik profil olan bir eyleme bağlayın.

1. Kullanıcı yolculuğunda, Type= veya TypeClaimsProviderSelection=CombinedSignInAndSignUp ile düzenleme adımı öğesini bulun. Bu genellikle ilk düzenleme adımıdır. ClaimsProviderSelections öğesinde kullanıcıların oturum açması için bir IdP listesi bulunur. Öğe denetimlerinin sırası, kullanıcının gördüğü oturum açma düğmelerinin sırasıdır.
2. ClaimsProviderSelection XML öğesi ekleyin.
3. TargetClaimsExchangeId değerini kolay bir ad olarak ayarlayın.
4. ClaimsExchange öğesi ekleyin.
5. Kimlik değerini hedef talep değişim kimliğinin değerine ayarlayın.
6. TechnicalProfileReferenceId değerini oluşturduğunuz teknik profil kimliğiyle güncelleştirin.

Aşağıdaki XML, IdP ile bir kullanıcı yolculuğunun ilk iki düzenleme adımını gösterir:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="IdemiaExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="IdemiaExchange" TechnicalProfileReferenceId="Idemia-Oauth2" />
  </ClaimsExchanges>
</OrchestrationStep>

Bağlı olan taraf ilkesini yapılandırma

Bağlı olan taraf ilkesi, örneğin SignUpSignIn.xml, B2C'nin yürüttüğü Azure AD kullanıcı yolculuğunu belirtir.

1. Bağlı olan taraf içinde DefaultUserJourney öğesini bulun.
2. ReferenceId değerini IdP'yi eklediğiniz kullanıcı yolculuğu kimliğiyle eşleşecek şekilde güncelleştirin.

Aşağıdaki örnekte, kullanıcı yolculuğu için CustomSignUpOrSignInReferenceId değeri olarak CustomSignUpOrSignInayarlanmıştır.

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Özel ilkeyi karşıya yükleme

Aşağıdaki yönergeler için dizini Azure AD B2C kiracınızla birlikte kullanın.

1. Azure Portal’ında oturum açın.

2. Portal araç çubuğunda Dizinler + abonelikler'i seçin.

3. Portal ayarları, Dizinler + abonelikler sayfasındaki Dizin adı listesinde Azure AD B2C dizininizi bulun.

4. Değiştir'i seçin.

5. Azure portal Azure AD B2C'yi arayın ve seçin.

6. İlkeler'in altında Kimlik Deneyimi Çerçevesi'ne tıklayın.

7. Özel İlkeyi Karşıya Yükle'yi seçin.

8. Değiştirdiğiniz iki ilke dosyasını aşağıdaki sırayla karşıya yükleyin:

   • Uzantı ilkesi, örneğin TrustFrameworkExtensions.xml
   • Bağlı olan taraf ilkesi, örneğin SignUpSignIn.xml

Özel ilkenizi test etme

1. Bağlı olan taraf ilkenizi seçin, örneğin B2C_1A_signup_signin.
2. Uygulama için kaydettiğiniz bir web uygulamasını seçin.
3. https://jwt.msYanıt URL'si için görünür.
4. Şimdi çalıştır'ı seçin.
5. Kaydolma veya oturum açma sayfasındaN IDEMIA'yı seçin.
6. Tarayıcı adresine https://jwt.msyönlendirilir. Azure AD B2C tarafından döndürülen belirteç içeriğine bakın.

Daha fazla bilgi edinin: Öğretici: Azure AD B2C'de web uygulaması kaydetme

Sonraki adımlar

• B2C özel ilkesine genel bakış Azure AD
• Öğretici: Azure AD B2C'de kullanıcı akışları ve özel ilkeler oluşturma
• Mobil Kimlik için idemia.com: Kimliğinizi daha fazla gizlilikle kanıtlama bölümüne gidin