Azure Active Directory B2C ile Trusona Kimlik Doğrulama Bulutu yapılandırma
Bu örnek öğreticide, Azure AD B2C kimlik doğrulamasını Trusona Authentication Cloud ile tümleştirmeyi öğreneceksiniz. Kullanıcıların herhangi bir mobil kimlik doğrulayıcı uygulamasına gerek kalmadan dokun ve kullan deneyimiyle kimlik doğrulamasına olanak tanıyan bulut tabanlı bir hizmettir.
Trusona Authentication Cloud'ı Azure AD B2C ile tümleştirmenin avantajları şunlardır:
Daha iyi bir kullanıcı deneyimiyle güçlü kimlik doğrulaması sağlama
- Daha fazla çevrimiçi harcama yapan daha mutlu kullanıcılar
- Daha düşük zarar ve terk etme, artan gelir
- Daha yüksek saklama, yaşam süresi değeri (LTV)
İşletmeyi çalıştırmanın daha düşük maliyeti
- Daha az hesap devralma ve hesap paylaşımı
- Daha az sahtekarlık ve daha az el ile dolandırıcılık analizi eylemi
- El ile yapılan incelemelerde dış kaynak harcaması azaltıldı
Parolaları ortadan kaldırma
- Artık parola sıfırlama yok
- Azaltılmış çağrı merkezi şikayetleri
- Geçiş anahtarlarını kullanarak hızlı, basit, sorunsuz oturum açma işlemleri
Önkoşullar
Başlamak için gerekli olanlar:
- Trusona Authentication Cloud deneme hesabı. Hesap istemek için Trusona'ya başvurun.
- Azure aboneliği. Aboneliğiniz yoksa ücretsiz bir hesap alabilirsiniz.
- Azure aboneliğinize bağlı bir Azure AD B2C kiracısı .
- Azure AD B2C'de özel ilkeleri kullanmaya başlama makalesindeki adımları tamamlayın.
Senaryo açıklaması
Web Kimlik Doğrulaması standardı - WebAuthn parmak izi, Windows hello veya USB, Bluetooth ve OTP gibi dış FIDO cihazları aracılığıyla kimlik doğrulamasını desteklemek için modern işletim sistemleri ve tarayıcılar uygular.
Bu senaryoda Trusona, parolasız kimlik doğrulamasını etkinleştirmek için Azure AD B2C için kimlik sağlayıcısı (IdP) işlevi görür. Çözümü aşağıdaki bileşenler oluşturur:
- Azure AD B2C birleştirilmiş oturum açma ve kaydolma ilkesi.
- Trusona Kimlik Doğrulama Bulutu, IdP olarak Azure AD B2C'ye eklendi.
Adımlar | Tanım |
---|---|
1. | Bir kullanıcı, tarayıcı aracılığıyla web uygulamasında oturum açmaya çalışır. |
2. | Web uygulaması Azure AD B2C kaydolma ve oturum açma ilkesine yönlendirilir. |
3. | Azure AD B2C, kimlik doğrulaması için kullanıcıyı Trusona Authentication Cloud OpenID Bağlan (OIDC) IdP'sine yönlendirir. |
4. | Kullanıcıya kullanıcı adını soran bir oturum açma web sayfası (genellikle bir e-posta adresi) sunulur. |
5. | Kullanıcı e-posta adresini girer ve Devam düğmesini seçer. Kullanıcının hesabı Trusona Kimlik Doğrulama Bulutu'nda bulunamazsa, cihazda WebAuthn kayıt işlemini başlatan tarayıcıya bir yanıt gönderilir. Aksi takdirde, tarayıcıya WebAuthn kimlik doğrulama işlemine başlayan bir yanıt gönderilir. |
6. | Kullanıcıdan kullanılacak kimlik bilgilerini seçmesi istenir. Geçiş anahtarı, web uygulamasının etki alanıyla veya donanım güvenlik anahtarıyla ilişkilendirilir. Kullanıcı bir kimlik bilgisi seçtikten sonra, işletim sistemi kullanıcıdan kimliğini onaylamak için biyometrik, geçiş kodu veya PIN kullanmasını ister. Bu, seçilen kimlik bilgileriyle ilişkilendirilmiş özel anahtar tarafından imzalanan bir kimlik doğrulama onayı oluşturan Güvenli Kapanım/Güvenilen Yürütme ortamının kilidini açar. |
7. | Kimlik doğrulama onayı doğrulama için Trusona bulut hizmetine döndürülür. |
8. | Doğrulandıktan sonra Trusona Authentication Cloud (IdP) bir OIDC Kimlik belirteci oluşturur ve bunu Azure AD B2C'ye (Hizmet Sağlayıcısı) iletir. Azure AD B2C, belirtecin ve verenin imzasını Trusona'nın OpenID bulma belgesindeki değerlerle doğrular. Bu ayrıntılar IdP kurulumu sırasında yapılandırıldı. Doğrulandıktan sonra Azure AD B2C bir OIDC id_token (kapsama bağlı olarak) gönderir ve kullanıcıyı belirteçle yeniden başlatan uygulamaya yönlendirir. |
9. | Web uygulaması (veya kimlik doğrulamasını uygulamak için kullandığı geliştirici kitaplıkları) belirteci alır ve Azure AD B2C belirtecinin orijinalliğini doğrular. Böyle bir durum söz konusuysa, talepleri ayıklar ve kullanmak üzere web uygulamasına geçirir. |
10. | Doğrulamanın ardından kullanıcıya erişim izni verilir/erişim reddedilir. |
1. Adım: Trusona Authentication Cloud ile ekleme
Sol gezinti panelinden Ayarlar
Ayarlar menüsünde OIDC'yi Etkinleştir kaydırıcısını seçin.
Uygun Girişleri seçin ve Yeniden Yönlendirme URL'sini
https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp
sağlayın.Azure AD B2C kurulumunuzda kullanmak üzere bir gizli anahtar oluşturun ve anahtarı kopyalayın .
Dekont
- Trusona portalı self servis kaydı destekler. Kaydolduktan sonra salt okunur haklara sahip bir Trusona hesabına atanırsınız. Daha sonra Trusona sizi doğru hesaba atayacak ve kuruluşunuzun portal kullanıcıları için erişim denetimi ilkesine göre okuma-yazma haklarınızı yükseltecektir.
- İstemci yeniden yönlendirme konağı olarak Microsoft Entra Id'nin ilk etki alanı adı kullanılır.
2. Adım: Azure AD B2C'de web uygulaması kaydetme
Uygulamalarınızın Azure AD B2C ile etkileşim kurabilmesi için önce müşteri kiracınıza kaydedilmesi gerekir. Bu öğreticide, Azure portalını kullanarak bir Web Uygulamasını kaydetme adımları gösterilmektedir. Bu öğretici gibi test amacıyla, bir belirtecin kodu çözülen içeriğini görüntüleyen Microsoft'a ait bir web uygulaması kaydediyorsunuz https://jwt.ms
(belirtecin içeriği tarayıcınızdan hiçbir zaman ayrılmaz).
Azure AD B2C kiracınıza bir web uygulaması kaydetmek için yeni birleşik uygulama kayıt deneyimimizi kullanın.
Azure Portal oturum açın.
Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden Azure AD B2C kiracınıza geçmek için üstteki menüden Ayarlar simgesini seçin.
Azure portalında Azure AD B2C'yi arayın ve seçin.
Uygulama kayıtları'ı ve ardından Yeni kayıt'ı seçin.
Uygulama için bir Ad girin. Örneğin, jwt ms.
Desteklenen hesap türleri altında, herhangi bir kimlik sağlayıcısı veya kuruluş dizinindeki hesaplar (Kullanıcı akışı olan kullanıcıların kimliklerini doğrulamak için) seçeneğini belirleyin.
Yeniden Yönlendirme URI'si'nin altında Web'i seçin ve URL metin kutusuna girin
https://jwt.ms
.Yeniden yönlendirme URI'si, yetkilendirme sunucusunun , bu örnekte Azure AD B2C'nin kullanıcıyı gönderdiği uç noktadır. Kullanıcıyla etkileşimini tamamladıktan sonra, başarılı yetkilendirme sonrasında bir erişim belirteci veya yetkilendirme kodu gönderilir. Bir üretim uygulamasında, genellikle uygulamanızın çalıştığı genel olarak erişilebilir bir uç noktadır, örneğin
https://contoso.com/auth-response
. Bu öğretici gibi test amacıyla, bunu bir belirtecinhttps://jwt.ms
kodu çözülen içeriğini görüntüleyen Microsoft'a ait bir web uygulaması olarak ayarlayabilirsiniz (belirtecin içeriği tarayıcınızdan asla ayrılmaz). Uygulama geliştirme sırasında, uygulamanızın gibihttps://localhost:5000
yerel olarak dinlediği uç noktayı ekleyebilirsiniz. Kayıtlı uygulamalarınıza istediğiniz zaman yeniden yönlendirme URI'leri ekleyebilir ve değiştirebilirsiniz.Yeniden yönlendirme URI'leri için aşağıdaki kısıtlamalar geçerlidir:
- Localhost yeniden yönlendirme URL'si kullanmadığınız sürece yanıt URL'si düzeniyle
https
başlamalıdır. - Yanıt URL'si büyük/küçük harfe duyarlıdır. Büyük/küçük harf, çalışan uygulamanızın URL yolunun durumuyla eşleşmelidir. Örneğin, uygulamanız yolunun
.../abc/response-oidc
bir parçası olarak içeriyorsa yanıt URL'sinde belirtmeyin.../ABC/response-oidc
. Web tarayıcısı yolları büyük/küçük harfe duyarlı olarak ele aldığından, büyük/küçük harf eşleşmeyen.../ABC/response-oidc
URL'ye yönlendirildiğinde ile.../abc/response-oidc
ilişkili tanımlama bilgileri dışlanabilir. - Yanıt URL'si, uygulamanızın beklediği şekilde sondaki eğik çizgiyi içermelidir veya hariç tutmalıdır. Örneğin,
https://contoso.com/auth-response
vehttps://contoso.com/auth-response/
uygulamanızda eşleşmeyen URL'ler olarak ele alınabilir.
- Localhost yeniden yönlendirme URL'si kullanmadığınız sürece yanıt URL'si düzeniyle
İzinler'in altında Openid ve offline_access izinleri için yönetici onayı ver onay kutusunu seçin.
Kaydet'i seçin.
Kimlik belirteci örtük iznini etkinleştirme
Bu uygulamayı kaydeder ve bir kullanıcı akışını veya özel ilkeyi test etmek için uygulamayla https://jwt.ms/
yapılandırırsanız, uygulama kaydında örtük verme akışını etkinleştirmeniz gerekir:
Soldaki menüde Yönet'in altında Kimlik Doğrulaması'nı seçin.
Örtük verme ve karma akışlar altında Kimlik belirteçleri (örtük ve karma akışlar için kullanılır) onay kutularını seçin.
Kaydet'i seçin.
3. Adım: Trusona Authentication Cloud'ı Azure AD B2C'de IdP olarak yapılandırma
Azure portalda Azure AD B2C kiracınızın genel yöneticisi olarak oturum açın.
Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden Azure AD B2C kiracınıza geçmek için üstteki menüden Ayarlar simgesini seçin.
Azure portalın sol üst köşesinde Tüm hizmetler’i seçin ve Azure AD B2C’yi arayıp seçin.
Pano>Azure Active Directory B2C>Kimlik sağlayıcıları'na gidin.
Kimlik sağlayıcıları'ı seçin.
Add (Ekle) seçeneğini belirleyin.
IdP yapılandırma
Kimlik sağlayıcısı türü>OpenID Bağlan (Önizleme) seçeneğini belirleyin.
IdP'yi ayarlamak için formu doldurun:
Özellik Değer Meta veri URL'si https://authcloud.trusona.net/.well-known/openid-configuration
İstemci kimliği Trusona Kimlik Doğrulaması Bulut portalında kullanılabilir İstemci gizli anahtarı Trusona Kimlik Doğrulaması Bulut portalında kullanılabilir Scope OpenID profili e-postası Yanıt türü kod Yanıt modu form_post Tamam'ı seçin.
Bu kimlik sağlayıcısının taleplerini eşle'yi seçin.
IdP'yi eşlemek için formu doldurun:
Özellik Değer UserID alt Display name Takma Ad given_name Surname family_name Yanıt modu e-posta Yeni OIDC IdP'nizin kurulumunu tamamlamak için Tamam'ı seçin.
4. Adım: Kullanıcı akışı ilkesi oluşturma
Artık Trusona'yı B2C IdP'lerinizde listelenen yeni bir OpenID Bağlan Kimlik Sağlayıcısı olarak görmeniz gerekir.
Azure AD B2C kiracınızdaki İlkeler'in altında Kullanıcı akışları'yı seçin.
Yeni kullanıcı akışı’nı seçin.
Kaydol'u seçin ve oturum açın, bir sürüm seçin ve ardından Oluştur'u seçin.
İlkeniz için bir Ad girin.
Kimlik sağlayıcıları bölümünde yeni oluşturduğunuz Trusona Kimlik Doğrulaması Bulut Kimlik Sağlayıcısı'nı seçin.
Dekont
Trusona doğası gereği çok faktörlü olduğundan, çok faktörlü kimlik doğrulamasını devre dışı bırakmak en iyisidir.
Oluştur seçeneğini belirleyin.
Kullanıcı Öznitelikleri ve Talepleri'nin altında Daha fazlasını göster'i seçin. Formda, önceki bölümde kimlik sağlayıcınızın kurulumu sırasında belirttiğiniz en az bir öznitelik seçin.
Tamam'ı seçin.
5. Adım: Kullanıcı akışınızı test edin
Oluşturduğunuz ilkeyi seçin.
Kullanıcı akışını çalıştır'ı ve ardından ayarları seçin:
a. Uygulama: Kayıtlı uygulamayı seçin, örneğin jwt ms.
b. Yanıt URL'si: Yeniden yönlendirme URL'sini seçin, örneğin,
https://jwt.ms
.Kullanıcı akışı çalıştır'ı seçin. Trusona Kimlik Doğrulama Bulutu'na yönlendirilmelisiniz. Kullanıcıya kullanıcı adını soran bir oturum açma web sayfası (genellikle bir e-posta adresi) sunulur. Kullanıcının hesabı Trusona Authentication Cloud'da bulunamazsa, tarayıcıda cihazda WebAuthn kayıt işlemini başlatan bir yanıt gönderilir. Aksi takdirde, tarayıcıya WebAuthn kimlik doğrulama işlemine başlayan bir yanıt gönderilir. Kullanıcıdan kullanılacak kimlik bilgilerini seçmesi istenir. Geçiş anahtarı, web uygulamasının etki alanıyla veya donanım güvenlik anahtarıyla ilişkilendirilir. Kullanıcı bir kimlik bilgisi seçtikten sonra, işletim sistemi kullanıcıdan kimliğini onaylamak için biyometrik, geçiş kodu veya PIN kullanmasını ister. Bu, seçilen kimlik bilgileriyle ilişkilendirilmiş özel anahtar tarafından imzalanan bir kimlik doğrulama onayı oluşturan Güvenli Kapanım/Güvenilen Yürütme ortamının kilidini açar. Azure AD B2C, Trusona kimlik doğrulama yanıtını doğrular ve bir OIDC belirteci yayınlar. Kullanıcıyı, Azure AD B2C tarafından döndürülen belirtecin içeriğini görüntüleyen, örneğin
https://jwt.ms
, başlatan uygulamaya yeniden yönlendirir.
3. Adım: Trusona Kimlik Doğrulama Bulutu ilke anahtarı oluşturma
Daha önce 1. adımda oluşturduğunuz istemci gizli dizisini Azure AD B2C kiracınızda depolayın.
Azure Portal oturum açın.
Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden Azure AD B2C kiracınıza geçmek için üstteki menüden Ayarlar simgesini seçin.
Azure portalının sol üst köşesindeki Tüm hizmetler'i seçin ve ardından Azure AD B2C'yi arayıp seçin.
Genel Bakış sayfasında Kimlik Deneyimi Çerçevesi'ni seçin.
İlke Anahtarları'nı ve ardından Ekle'yi seçin.
Seçenekler için El ile'yi seçin.
İlke anahtarı için bir Ad girin. Örneğin,
TrusonaTacClientSecret
. Ön ekB2C_1A_
, anahtarınızın adına otomatik olarak eklenir.Gizli Dizi alanına daha önce kaydettiğiniz gizli dizinizi girin.
Anahtar kullanımı için öğesini seçin
Signature
.Oluştur seçeneğini belirleyin.
4. Adım: Trusona Authentication Cloud'ı IdP olarak yapılandırma
Bahşiş
Bu noktada Azure AD B2C ilkesini yapılandırmış olmanız gerekir. Aksi takdirde Azure AD B2C kiracınızı ayarlama ve ilkeleri yapılandırma yönergelerini izleyin.
Kullanıcıların Trusona Authentication Cloud kullanarak oturum açmasını sağlamak için Trusona'yı Azure AD B2C'nin bir uç nokta üzerinden iletişim kurabileceği bir talep sağlayıcısı olarak tanımlamanız gerekir. Uç nokta, Azure AD B2C tarafından belirli bir kullanıcının kimlik doğrulamasını, cihazında bulunan bir geçiş anahtarı veya donanım güvenlik anahtarı kullanarak doğrulamak ve kullanıcının kimliğini doğrulamak için kullanılan bir dizi talep sağlar.
Trusona'ya talep sağlayıcısı eklemek için aşağıdaki adımları kullanın:
GitHub'dan özel ilke başlangıç paketlerini alın, ardından LocalAccounts başlangıç paketindeki XML dosyalarını Azure AD B2C kiracı adınız ile güncelleştirin:
.zip dosyasını indirin veya depoyu kopyalayın:
git clone https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack
LocalAccounts dizinindeki tüm dosyalarda dizesini
yourtenant
Azure AD B2C kiracınızın adıyla değiştirin. Örneğin, B2C kiracınızın adı isecontoso
tüm örnekleriyourtenant.onmicrosoft.com
olurcontoso.onmicrosoft.com
.
LocalAccounts/TrustFrameworkExtensions.xml
dosyasını açın.ClaimsProviders öğesini bulun. Yoksa kök öğesinin
TrustFrameworkPolicy
altına ekleyin.Aşağıdakine benzer yeni bir ClaimsProvider ekleyin:
<ClaimsProvider>
<Domain>TrusonaTAC</Domain>
<DisplayName>Trusona TAC</DisplayName>
<TechnicalProfiles>
<TechnicalProfile Id="TrusonaTAC-OpenIdConnect">
<DisplayName>TrusonaTAC</DisplayName>
<Description>Login with your Trusona TAC account</Description>
<Protocol Name="OpenIdConnect" />
<Metadata>
<Item Key="METADATA">https://authcloud.trusona.net/.well-known/openid-configuration</Item>
<Item Key="scope">openid profile email</Item>
<!-- Update the Client ID to the Trusona Authentication Cloud Application ID -->
<Item Key="client_id">00000000-0000-0000-0000-000000000000</Item>
<Item Key="response_types">code</Item>
<Item Key="response_mode">form_post</Item>
<Item Key="HttpBinding">POST</Item>
<Item Key="UsePolicyInRedirectUri">false</Item>
<Item Key="IncludeClaimResolvingInClaimsHandling">true</Item>
<!-- trying to add additional claim-->
<!--Insert b2c-extensions-app application ID here, for example: 11111111-1111-1111-1111-111111111111-->
<Item Key="11111111-1111-1111-1111-111111111111"></Item>
<!--Insert b2c-extensions-app application ObjectId here, for example: 22222222-2222-2222-2222-222222222222-->
<Item Key="11111111-1111-1111-1111-111111111111"></Item>
<!-- The key allows you to specify each of the Azure AD tenants that can be used to sign in. Update the GUIDs for each tenant. -->
<!--<Item Key="ValidTokenIssuerPrefixes">https://login.microsoftonline.com/187f16e9-81ab-4516-8db7-1c8ef94ffeca,https://login.microsoftonline.com/11111111-1111-1111-1111-111111111111</Item>-->
<!-- The commented key specifies that users from any tenant can sign-in. Uncomment if you would like anyone with an Azure AD account to be able to sign in. -->
<Item Key="ValidTokenIssuerPrefixes">https://login.microsoftonline.com/</Item>
</Metadata>
<CryptographicKeys>
<!-- Update the Client Secret to the Trusona Authentication Cloud Client Secret Name -->
<Key Id="client_secret" StorageReferenceId="B2C_1A_TrusonaTacSecret" />
</CryptographicKeys>
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
<OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" AlwaysUseDefaultValue="true" DefaultValue="{Policy:TenantObjectId}" />
<OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
<OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" DefaultValue="https://authcloud.trusona.net/" />
<OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
<OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
<OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
<OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
<OutputClaim ClaimTypeReferenceId="email" />
</OutputClaims>
<OutputClaimsTransformations>
<OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
<OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
<OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
<OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
</OutputClaimsTransformations>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
</TechnicalProfile>
</TechnicalProfiles>
</ClaimsProvider>
daha önce 1. adımda kaydettiğiniz Trusona Authentication Cloud uygulama kimliğiyle client_id ayarlayın.
client_secret bölümünü 3. Adımda oluşturulan ilke anahtarının adıyla güncelleştirin. Örneğin,
B2C_1A_TrusonaTacClientSecret
:<Key Id="client_secret" StorageReferenceId="B2C_1A_TrusonaTacClientSecret" />
Değişiklikleri kaydedin.
5. Adım: Kullanıcı yolculuğu ekleme
Bu noktada IdP'yi ayarladınız, ancak henüz hiçbir oturum açma sayfasında kullanılamaz. Kendi özel kullanıcı yolculuğunuz 6. Adım'a devam ediyorsanız, aksi takdirde mevcut şablon kullanıcı yolculuğunun bir kopyasını aşağıdaki gibi oluşturun:
LocalAccounts/TrustFrameworkBase.xml
Başlangıç paketinden dosyayı açın.içeren
Id=SignUpOrSignIn
UserJourney öğesinin tüm içeriğini bulun ve kopyalayın.LocalAccounts/TrustFrameworkExtensions.xml
öğesini açın ve UserJourneys öğesini bulun. Öğesi yoksa bir tane ekleyin.UserJourneys öğesinin alt öğesi olarak kopyaladığınız UserJourney öğesinin tüm içeriğini yapıştırın.
Kullanıcı yolculuğunun
Id
adını yeniden adlandırın. Örneğin,Id=TrusonaTacSUSI
.
6. Adım: IdP'yi kullanıcı yolculuğuna ekleme
Artık bir kullanıcı yolculuğunuz olduğuna göre, yeni IdP'yi kullanıcı yolculuğuna ekleyin.
veya içeren düzenleme adımı öğesini
Type=CombinedSignInAndSignUp
Type=ClaimsProviderSelection
kullanıcı yolculuğunda bulun. Genellikle ilk düzenleme adımıdır. ClaimsProviderSelections öğesi, kullanıcının oturum açabileceği IdP'lerin listesini içerir. Öğelerin sırası, kullanıcıya sunulan oturum açma düğmelerinin sırasını denetler. ClaimsProviderSelection XML öğesi ekleyin. TargetClaimsExchangeId değerini gibiTrusonaTacExchange
kolay bir ada ayarlayın.Sonraki düzenleme adımında claimsexchange öğesi ekleyin. Kimliği hedef talep değişim kimliğinin değerine ayarlayın. TechnicalProfileReferenceId değerini daha önce talep sağlayıcısını eklerken oluşturduğunuz teknik profilin kimliğine güncelleştirin; örneğin,
TrusonaTAC-OpenIdConnect
.
Aşağıdaki XML, kimlik sağlayıcısıyla bir kullanıcı yolculuğunun düzenleme adımlarını gösterir:
<UserJourney Id="TrusonaTacSUSI">
<OrchestrationSteps>
<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
<ClaimsProviderSelections>
<ClaimsProviderSelection TargetClaimsExchangeId="TrusonaTacExchange" />
<ClaimsProviderSelection ValidationClaimsExchangeId="LocalAccountSigninEmailExchange" />
</ClaimsProviderSelections>
<ClaimsExchanges>
<ClaimsExchange Id="LocalAccountSigninEmailExchange" TechnicalProfileReferenceId="SelfAsserted-LocalAccountSignin-Email" />
</ClaimsExchanges>
</OrchestrationStep>
<!-- Check if the user has selected to sign in using one of the social providers -->
<OrchestrationStep Order="2" Type="ClaimsExchange">
<Preconditions>
<Precondition Type="ClaimsExist" ExecuteActionsIf="true">
<Value>objectId</Value>
<Action>SkipThisOrchestrationStep</Action>
</Precondition>
</Preconditions>
<ClaimsExchanges>
<ClaimsExchange Id="TrusonaTacExchange" TechnicalProfileReferenceId="TrusonaTAC-OpenIdConnect" />
<ClaimsExchange Id="SignUpWithLogonEmailExchange" TechnicalProfileReferenceId="LocalAccountSignUpWithLogonEmail" />
</ClaimsExchanges>
</OrchestrationStep>
<OrchestrationStep Order="3" Type="ClaimsExchange">
<Preconditions>
<Precondition Type="ClaimEquals" ExecuteActionsIf="true">
<Value>authenticationSource</Value>
<Value>localAccountAuthentication</Value>
<Action>SkipThisOrchestrationStep</Action>
</Precondition>
</Preconditions>
<ClaimsExchanges>
<ClaimsExchange Id="AADUserReadUsingAlternativeSecurityId" TechnicalProfileReferenceId="AAD-UserReadUsingAlternativeSecurityId-NoError" />
</ClaimsExchanges>
</OrchestrationStep>
<!-- Show self-asserted page only if the directory does not have the user account already (we do not have an objectId). This can only happen when authentication happened using a social IDP. If local account was created or authentication done using ESTS in step 2, then an user account must exist in the directory by this time. -->
<OrchestrationStep Order="4" Type="ClaimsExchange">
<Preconditions>
<Precondition Type="ClaimsExist" ExecuteActionsIf="true">
<Value>objectId</Value>
<Action>SkipThisOrchestrationStep</Action>
</Precondition>
</Preconditions>
<ClaimsExchanges>
<ClaimsExchange Id="SelfAsserted-Social" TechnicalProfileReferenceId="SelfAsserted-Social" />
</ClaimsExchanges>
</OrchestrationStep>
<!-- This step reads any user attributes that we may not have received when authenticating using ESTS so they can be sent in the token. -->
<OrchestrationStep Order="5" Type="ClaimsExchange">
<Preconditions>
<Precondition Type="ClaimEquals" ExecuteActionsIf="true">
<Value>authenticationSource</Value>
<Value>socialIdpAuthentication</Value>
<Action>SkipThisOrchestrationStep</Action>
</Precondition>
</Preconditions>
<ClaimsExchanges>
<ClaimsExchange Id="AADUserReadWithObjectId" TechnicalProfileReferenceId="AAD-UserReadUsingObjectId" />
</ClaimsExchanges>
</OrchestrationStep>
<!-- The previous step (SelfAsserted-Social) could have been skipped if there were no attributes to collect from the user. So, in that case, create the user in the directory if one does not already exist (verified using objectId which would be set from the last step if account was created in the directory. -->
<OrchestrationStep Order="6" Type="ClaimsExchange">
<Preconditions>
<Precondition Type="ClaimsExist" ExecuteActionsIf="true">
<Value>objectId</Value>
<Action>SkipThisOrchestrationStep</Action>
</Precondition>
</Preconditions>
<ClaimsExchanges>
<ClaimsExchange Id="AADUserWrite" TechnicalProfileReferenceId="AAD-UserWriteUsingAlternativeSecurityId" />
</ClaimsExchanges>
</OrchestrationStep>
<OrchestrationStep Order="7" Type="SendClaims" CpimIssuerTechnicalProfileReferenceId="JwtIssuer" />
</OrchestrationSteps>
<ClientDefinition ReferenceId="DefaultWeb" />
</UserJourney>
Kullanıcı Yolculukları hakkında daha fazla bilgi edinin.
7. Adım: Bağlı olan taraf ilkesini yapılandırma
Bağlı olan taraf ilkesi, örneğin SignUpSignIn.xml, Azure AD B2C'nin yürüttüğü kullanıcı yolculuğunu belirtir. Bağlı olan taraf içinde DefaultUserJourney öğesini bulun. ReferenceId değerini, kimlik sağlayıcısını eklediğiniz kullanıcı yolculuğu kimliğiyle eşleşecek şekilde güncelleştirin.
Aşağıdaki örnekte, kullanıcı yolculuğu için Trusona Authentication Cloud
ReferenceId değeri olarak TrusonaTacSUSI
ayarlanmıştır:
<RelyingParty>
<DefaultUserJourney ReferenceId="TrusonaTacSUSI" />
<TechnicalProfile Id="PolicyProfile">
<DisplayName>PolicyProfile</DisplayName>
<Protocol Name="OpenIdConnect" />
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="displayName" />
<OutputClaim ClaimTypeReferenceId="givenName" />
<OutputClaim ClaimTypeReferenceId="surname" />
<OutputClaim ClaimTypeReferenceId="email" />
<OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
<OutputClaim ClaimTypeReferenceId="identityProvider" />
<OutputClaim ClaimTypeReferenceId="tenantId" AlwaysUseDefaultValue="true" DefaultValue="{Policy:TenantObjectId}" />
<OutputClaim ClaimTypeReferenceId="correlationId" DefaultValue="{Context:CorrelationId}" />
</OutputClaims>
<SubjectNamingInfo ClaimType="sub" />
</TechnicalProfile>
</RelyingParty>
8. Adım: Özel ilkeyi karşıya yükleme
Azure Portal oturum açın.
Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden Azure AD B2C kiracınıza geçmek için üstteki menüden Ayarlar simgesini seçin.
İlkeler'in altında Kimlik Deneyimi Çerçevesi'ne tıklayın.
Özel İlkeyi Karşıya Yükle'yi seçin ve değiştirdiğiniz iki ilke dosyasını şu sırayla karşıya yükleyin: uzantı ilkesi, örneğin
TrustFrameworkExtensions.xml
, ve gibiSignUpOrSignin.xml
bağlı olan taraf ilkesi.
9. Adım: Özel ilkenizi test edin
Azure AD B2C kiracınızdaki İlkeler'in altında Kimlik Deneyimi Çerçevesi'ne tıklayın.
Özel ilkeler'in altında TrusonaTacSUSI'yi seçin.
Uygulama için, bu makalenin önkoşulları kapsamında daha önce kaydettiğiniz web uygulamasını seçin. örneğin
jwt ms
, . Yanıt URL'si göstermelidirhttps://jwt.ms
.Şimdi Çalıştır'ı seçin. Tarayıcınız Trusona Authentication Cloud oturum açma sayfasına yönlendirilmelidir.
Bir oturum açma ekranı gösterilir; en altta Trusona Authentication Cloud kimlik doğrulamasını kullanmak için bir düğme olmalıdır.
Trusona Kimlik Doğrulama Bulutu'na yönlendirilmelisiniz. Kullanıcıya kullanıcı adını soran bir oturum açma web sayfası (genellikle bir e-posta adresi) sunulur. Kullanıcının hesabı Trusona Kimlik Doğrulama Bulutu'nda bulunamazsa, cihazda WebAuthn kayıt işlemini başlatan tarayıcıya bir yanıt gönderilir. Aksi takdirde, tarayıcıya WebAuthn kimlik doğrulama işlemine başlayan bir yanıt gönderilir. Kullanıcıdan kullanılacak kimlik bilgilerini seçmesi istenir. Geçiş anahtarı, web uygulamasının etki alanıyla veya donanım güvenlik anahtarıyla ilişkilendirilir. Kullanıcı bir kimlik bilgisi seçtikten sonra, işletim sistemi kullanıcıdan kimliğini onaylamak için biyometrik, geçiş kodu veya PIN kullanmasını ister. Bu, seçilen kimlik bilgileriyle ilişkilendirilmiş özel anahtar tarafından imzalanan bir kimlik doğrulama onayı oluşturan Güvenli Kapanım/Güvenilen Yürütme ortamının kilidini açar.
Oturum açma işlemi başarılı olursa, tarayıcınız Azure AD B2C tarafından döndürülen belirtecin içeriğini görüntüleyen öğesine yönlendirilir
https://jwt.ms
.
Sonraki adımlar
Ek bilgi için aşağıdaki makaleleri gözden geçirin: