Öğretici: Azure Active Directory B2C ile IDEMIA Mobil Kimliğini Yapılandırma
Başlamadan önce
Azure Active Directory B2C (Azure AD B2C), kullanıcıların uygulamalarla etkileşimlerini tanımlamak için iki yönteme sahiptir: önceden tanımlanmış kullanıcı akışları veya yapılandırılabilir özel ilkeler. Bkz. Kullanıcı akışlarına ve özel ilkelere genel bakış
Azure AD B2C'yi IDEMIA Mobile ID ile tümleştirme
IDEMIA, yüz kimliği ve parmak izi gibi biyometrik kimlik doğrulama hizmetleri sağlayarak sahtekarlığı ve kimlik bilgilerinin yeniden kullanılmasını azaltır. Mobil Kimlik ile vatandaşlar, fiziksel kimliklerine tamamlayıcı olarak güvenilir, devlet tarafından verilen bir dijital kimlikten yararlanmaktadır. Mobile ID kendi kendine seçilen pin, touch ID veya face ID kullanarak kimliği doğrular. Vatandaşlar, bir işlem için gereken bilgileri paylaşarak kimliklerini denetler. Birçok motorlu taşıt departmanı (DMV) Mobil Kimlik kullanır.
Daha fazla bilgi edinmek için idemia.com: IDEMIA sayfasına gidin
Senaryo açıklaması
Mobil kimlik tümleştirmesi aşağıdaki bileşenleri içerir:
- Azure AD B2C – kullanıcı kimlik bilgilerini doğrulayan yetkilendirme sunucusu
- Kimlik sağlayıcısı (IdP) olarak da bilinir
- IDEMIA Mobil Kimliği - Azure AD B2C dış sağlayıcısı olarak yapılandırılmış OpenID Connect (OIDC) sağlayıcısı
- IDEMIA Mobil Kimlik uygulaması - telefonunuzdaki bir uygulamada sürücü lisansının veya durum bilgisi verilen kimliğin dijital sürümü
- Bkz. IDEMIA Mobil Kimliği
Mobil Kimlik, DMV'lerin tek tek kimlikleri doğrulamak için kullandığı taşınabilir bir mobil kimlik belirteci olan dijitalleştirilmiş bir kimlik belgesidir. İmzalı dijitalleştirilmiş kimlik, kullanıcı cep telefonlarında uçta bir kimlik olarak depolanır. İmzalı kimlik bilgileri yaş kanıtı, müşterinizi finansal olarak tanıma, hesap erişimi gibi kimlik hizmetlerine erişimi kolaylaştırır.
Aşağıdaki diyagramda Mobil Kimlik ile kaydolma ve oturum açma kullanıcı akışları gösterilmektedir.
- Kullanıcı, işlem gerçekleştirmek için Azure AD B2C oturum açma sayfasını (yanıtlayan taraf) cihazı ve Mobil Kimliği ile ziyaret eder.
- Azure AD B2C kimlik denetimi gerçekleştirir. Kullanıcıyı OIDC yetkilendirme kodu akışıyla IDEMIA yönlendiricisine yönlendirir.
- Yönlendirici, kimlik doğrulaması ve yetkilendirme isteği ayrıntılarıyla kullanıcının mobil uygulamasına biyometrik bir sınama gönderir.
- Güvenliğe bağlı olarak, kullanıcıdan daha fazla ayrıntı sağlaması istenebilir: PIN girme, canlı selfie çekme veya her ikisi.
- Kimlik doğrulama yanıtı sahiplik, varlık ve onay kanıtı sağlar. Yanıt yönlendiriciye döner.
- Yönlendirici kullanıcı bilgilerini doğrular ve sonuçla Azure AD B2C'yi yanıtlar.
- Kullanıcıya erişim izni verilir veya erişim reddedilir.
Mobil Kimliği Etkinleştir
Başlamak için idemia.com İletişime geçin sayfasına giderek bir tanıtım isteyin. İstek formu metin alanında, Azure AD B2C tümleştirmesine ilginizi belirtin.
Mobil Kimliği Azure AD B2C ile tümleştirme
Tümleştirme işlemlerine hazırlanmak ve bunları gerçekleştirmek için aşağıdaki bölümleri kullanın.
Önkoşullar
Başlamak için gerekli olanlar:
IDEMIA, ABD tarafından verilen Mobil Kimlik kimlik bilgilerine (mID) sahip kullanıcılara erişim
- Veya test aşamasında, IDEMIA'dan mID tanıtım uygulaması
Bir Azure aboneliği
- Hesabınız yoksa ücretsiz Bir Azure hesabı edinin
Azure aboneliğine bağlı Azure AD B2C kiracısı
Azure AD B2C kiracısında kayıtlı iş web uygulamanız
- Test için kodunu çözülen belirteç içeriğine sahip bir Microsoft web uygulaması olarak yapılandırın https://jwt.ms
Not
Belirteç içeriği tarayıcınızdan ayrılmaz.
mID için bağlı olan taraf uygulaması gönderme
Mobil Kimlik tümleştirmesi sırasında aşağıdaki bilgiler sağlanır.
Özellik | Açıklama |
---|---|
Uygulama Adı | B2C veya başka bir uygulama adı Azure AD |
Client_ID | Kimlik sağlayıcısının benzersiz tanımlayıcısı (IdP) |
İstemci Gizli Anahtarı | Bağlı olan taraf uygulamasının IDEMIA IdP ile kimlik doğrulaması yapmak için kullandığı parola |
Meta veri uç noktası | OpenID iyi bilinen yapılandırma uç noktası olarak da bilinen belirteç veren yapılandırma belgesine işaret eden url |
Yeniden yönlendirme URI'leri | https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp Örneğin, https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp Özel bir etki alanı kullanıyorsanız girin https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp . |
Oturum kapatma sonrası yeniden yönlendirme URI'leri | https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/{policy}/oauth2/v2.0/logout Oturumu kapatma isteği gönderin. |
Not
IdP'yi Azure AD B2C'de yapılandırmak için daha sonra İstemci Kimliği ve İstemci Gizli Anahtarı gerekir.
İlke anahtarı oluşturma
Not edilen IDEMIA gizli dizisini Azure AD B2C kiracınızda depolayın. Aşağıdaki yönergeler için dizini Azure AD B2C kiracınızla birlikte kullanın.
- Azure Portal’ında oturum açın.
- Portal araç çubuğunda Dizinler + abonelikler'i seçin.
- Portal ayarları, Dizinler + abonelikler sayfasında, Dizin adı listesinde Azure AD B2C dizininizi bulun
- Değiştir'i seçin.
- Azure portal sol üst köşesinde Tüm hizmetler'i seçin.
- Azure AD B2C'yi arayın ve seçin.
- Genel Bakış sayfasında Kimlik Deneyimi Çerçevesi'ni seçin.
- İlke Anahtarları'nı seçin.
- Add (Ekle) seçeneğini belirleyin.
- Seçenekler için El ile'yi seçin.
- İlke anahtarı için bir Ad girin. Örneğin,
IdemiaAppSecret
. Ön ekB2C_1A_
anahtar adına eklenir. - Gizli dizi alanına, not ettiğiniz Gizli Anahtarı girin.
- Anahtar kullanımı için İmza'yı seçin.
- Oluştur’u seçin.
Mobil Kimliği Dış IdP olarak yapılandırma
Kullanıcıların Mobil Kimlik ile oturum açmasını sağlamak için IDEMIA'yı bir talep sağlayıcısı olarak tanımlayın. Bu eylem, Azure AD B2C'nin bir uç nokta üzerinden iletişim kurmasını sağlar ve bu da B2C'nin biyometri ile kullanıcı kimlik doğrulamasını doğrulamak için kullandığı talepleri Azure AD sağlar.
IDEMIA'yı bir talep sağlayıcısı olarak tanımlamak için ilke uzantısı dosyasındaki ClaimsProvider öğesine ekleyin.
<TechnicalProfile Id="Idemia-Oauth2">
<DisplayName>IDEMIA</DisplayName>
<Description>Login with your IDEMIA identity</Description>
<Protocol Name="OAuth2" />
<Metadata>
<Item Key="METADATA">https://idp.XXXX.net/oxauth/.well-known/openid-configuration</Item>
<!-- Update the Client ID below to the Application ID -->
<Item Key="client_id">00000000-0000-0000-0000-000000000000</Item>
<Item Key="response_types">code</Item>
<Item Key="scope">openid id_basic mt_scope</Item>
<Item Key="response_mode">form_post</Item>
<Item Key="HttpBinding">POST</Item>
<Item Key="UsePolicyInRedirectUri">false</Item>
<Item Key="token_endpoint_auth_method">client_secret_basic</Item>
<Item Key="ClaimsEndpoint">https://idp.XXXX.net/oxauth/restv1/userinfo</Item>
<Item Key="ValidTokenIssuerPrefixes">https://login.microsoftonline.com/</Item>
</Metadata>
<CryptographicKeys>
<Key Id="client_secret" StorageReferenceId="B2C_1A_IdemiaAppSecret" />
</CryptographicKeys>
<InputClaims>
<InputClaim ClaimTypeReferenceId="acr" PartnerClaimType="acr_values" DefaultValue="loa-2" />
</InputClaims>
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
<OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" />
<OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="firstName1" />
<OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="lastName1" />
<OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
<OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="idemia" />
<OutputClaim ClaimTypeReferenceId="documentId" />
<OutputClaim ClaimTypeReferenceId="address1" />
</OutputClaims>
<OutputClaimsTransformations>
<OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
<OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
<OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
<OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
</OutputClaimsTransformations>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
</TechnicalProfile>
client_id uygulama kaydından uygulama kimliğine ayarlayın.
Özellik | Açıklama |
---|---|
Kapsam | OpenID Connect (OIDC) için minimum gereksinim, kapsam parametresini openid olarak ayarlar. Daha fazla kapsamı boşlukla ayrılmış liste olarak ekleyin. |
redirect_uri | Bu konum, kullanıcı aracısı yetkilendirme kodunu Azure AD B2C'ye gönderir. |
response_type | Yetkilendirme kodu akışı için kod seçin |
acr_values | Bu parametre, kullanıcının kimlik doğrulaması sırasında gerçekleştirmesi gereken kimlik doğrulama yöntemlerini denetler. |
Aşağıdaki değerlerden birini seçin:
Parametre değeri | Kullanıcı kimlik doğrulama işlemi üzerindeki etkisi |
---|---|
loa-2 |
Yalnızca şifreleme tabanlı Microsoft Entra çok faktörlü kimlik doğrulaması |
loa-3 |
Şifreleme tabanlı MFA ve başka bir faktör |
loa-4 |
Şifreleme tabanlı MFA'nın yanı sıra kullanıcı PIN ve biyometrik kimlik doğrulaması gerçekleştirir |
/userinfo uç noktası, yetkilendirme isteğinde istenen kapsamlar için talepleri sağlar. <mt_scope>, diğer öğelerin yanında Ad, Soyadı ve Sürücü Lisans Numarası gibi talepler vardır. Kapsam için ayarlanan talepler bulma API'sinin scope_to_claims_mapping bölümünde yayımlanır. Azure AD B2C, talep uç noktasından talep isteğinde bulunur ve bunları OutputClaims öğesinde döndürür. İlkenizdeki talep adını IdP'deki adla eşlemeniz gerekebilir. Talep türünü ClaimSchema öğesinde tanımlayın:
<ClaimType Id="documentId">
<DisplayName>documentId</DisplayName>
<DataType>string</DataType>
</ClaimType>
<ClaimType Id="address1">
<DisplayName>address</DisplayName>
<DataType>string</DataType>
</ClaimType>
Kullanıcı yolculuğu ekleme
Bu yönergeler için IdP ayarlanır, ancak herhangi bir oturum açma sayfasında yer almaz. Özel bir kullanıcı yolculuğunuz yoksa şablon kullanıcı yolculuğunu kopyalayın.
- Başlangıç paketinden dosyayı açın
TrustFrameworkBase.xml
. - öğesini içeren öğesinin
UserJourneys
ID=SignUpOrSignIn
içeriğini bulun ve kopyalayın. TrustFrameworkExtensions.xml
uygulamasını açın.- UserJourneys öğesini bulun. Öğe yoksa bir öğe ekleyin.
- UserJourney öğesinin içeriğini UserJourneys öğesinin alt öğesi olarak yapıştırın.
- Kullanıcı yolculuğu kimliğini yeniden adlandırın. Örneğin,
ID=CustomSignUpSignIn
.
IdP'yi kullanıcı yolculuğuna ekleme
Bir kullanıcı yolculuğu varsa, yeni IdP'yi ekleyin. Önce bir oturum açma düğmesi ekleyin, ardından bunu oluşturduğunuz teknik profil olan bir eyleme bağlayın.
- Kullanıcı yolculuğunda, Type= veya Type
ClaimsProviderSelection
=CombinedSignInAndSignUp
ile düzenleme adımı öğesini bulun. Bu genellikle ilk düzenleme adımıdır. ClaimsProviderSelections öğesinde kullanıcıların oturum açması için bir IdP listesi bulunur. Öğe denetimlerinin sırası, kullanıcının gördüğü oturum açma düğmelerinin sırasıdır. - ClaimsProviderSelection XML öğesi ekleyin.
- TargetClaimsExchangeId değerini kolay bir ad olarak ayarlayın.
- ClaimsExchange öğesi ekleyin.
- Kimlik değerini hedef talep değişim kimliğinin değerine ayarlayın.
- TechnicalProfileReferenceId değerini oluşturduğunuz teknik profil kimliğiyle güncelleştirin.
Aşağıdaki XML, IdP ile bir kullanıcı yolculuğunun ilk iki düzenleme adımını gösterir:
<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
<ClaimsProviderSelections>
...
<ClaimsProviderSelection TargetClaimsExchangeId="IdemiaExchange" />
</ClaimsProviderSelections>
...
</OrchestrationStep>
<OrchestrationStep Order="2" Type="ClaimsExchange">
...
<ClaimsExchanges>
<ClaimsExchange Id="IdemiaExchange" TechnicalProfileReferenceId="Idemia-Oauth2" />
</ClaimsExchanges>
</OrchestrationStep>
Bağlı olan taraf ilkesini yapılandırma
Bağlı olan taraf ilkesi, örneğin SignUpSignIn.xml, B2C'nin yürüttüğü Azure AD kullanıcı yolculuğunu belirtir.
- Bağlı olan taraf içinde DefaultUserJourney öğesini bulun.
- ReferenceId değerini IdP'yi eklediğiniz kullanıcı yolculuğu kimliğiyle eşleşecek şekilde güncelleştirin.
Aşağıdaki örnekte, kullanıcı yolculuğu için CustomSignUpOrSignIn
ReferenceId değeri olarak CustomSignUpOrSignIn
ayarlanmıştır.
<RelyingParty>
<DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
...
</RelyingParty>
Özel ilkeyi karşıya yükleme
Aşağıdaki yönergeler için dizini Azure AD B2C kiracınızla birlikte kullanın.
Azure Portal’ında oturum açın.
Portal araç çubuğunda Dizinler + abonelikler'i seçin.
Portal ayarları, Dizinler + abonelikler sayfasındaki Dizin adı listesinde Azure AD B2C dizininizi bulun.
Değiştir'i seçin.
Azure portal Azure AD B2C'yi arayın ve seçin.
İlkeler'in altında Kimlik Deneyimi Çerçevesi'ne tıklayın.
Özel İlkeyi Karşıya Yükle'yi seçin.
Değiştirdiğiniz iki ilke dosyasını aşağıdaki sırayla karşıya yükleyin:
- Uzantı ilkesi, örneğin
TrustFrameworkExtensions.xml
- Bağlı olan taraf ilkesi, örneğin
SignUpSignIn.xml
- Uzantı ilkesi, örneğin
Özel ilkenizi test etme
- Bağlı olan taraf ilkenizi seçin, örneğin
B2C_1A_signup_signin
. - Uygulama için kaydettiğiniz bir web uygulamasını seçin.
https://jwt.ms
Yanıt URL'si için görünür.- Şimdi çalıştır'ı seçin.
- Kaydolma veya oturum açma sayfasındaN IDEMIA'yı seçin.
- Tarayıcı adresine
https://jwt.ms
yönlendirilir. Azure AD B2C tarafından döndürülen belirteç içeriğine bakın.
Daha fazla bilgi edinin: Öğretici: Azure AD B2C'de web uygulaması kaydetme