你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
重要
自 2025 年 5 月 1 日起,Azure AD B2C 将不再可供新客户购买。 在我们的常见问题解答中了解详细信息。
itsme 数字 ID 应用程序允许您安全登录,无需读卡器、密码、双因素身份验证或多个 PIN 码。 itsme 应用程序通过经过验证的身份提供强大的客户身份验证。 本文介绍如何使用客户端机密用户流策略将 Azure AD B2C 身份验证与 itsme OpenID Connect (OIDC) 集成。
先决条件
若要开始,需要:
- 一份 Azure 订阅。 如果你没有订阅,可以获取一个免费帐户。
- 已链接到 Azure 订阅的 Azure AD B2C 租户。
- 您的 Client ID,也称为合作伙伴代码,由 itsme 提供。
- 您的 Service 代码由 itsme 提供。
- 您的 itsme 账户的客户端密钥。
方案说明
| 步骤 | DESCRIPTION |
|---|---|
| 1 | 在网站或应用程序上,在 Azure AD B2C 用户流中进行调整,添加“使用 itsme 登录”按钮。 当用户单击此按钮时,交互流开始。 |
| 2 | Azure AD B2C 通过向 itsme 客户端机密 API 发送 Authorize 请求来启动 OpenID 连接流。 提供的已知/OpenID 配置终结点包含有关终结点的信息。 |
| 3 | itsme 环境将用户重定向到 itsme identify yourself 页面,允许用户填写其电话号码。 |
| 4 | itsme 环境从用户那里接收电话号码并验证正确性。 |
| 5 | 如果电话号码属于活跃的 itsme 用户,则会为 itsme 应用程序创建一个 Action。 |
| 6 | 用户打开 itsme 应用程序,检查请求并确认操作。 |
| 7 | 该应用程序通知 itsme 系统该操作已被确认。 |
| 8 | itsme 环境将 OAuth 授权代码返回到 Azure AD B2C。 |
| 9 | Azure AD B2C 使用 authorize 代码执行令牌请求。 |
| 10 | itsme 环境会检查令牌请求,如果仍然有效,则返回 OAuth 访问令牌和包含所请求用户信息的 ID 令牌。 |
| 11 | 最后,将用户作为经过身份验证的用户重定向到重定向 URL。 |
加入 itsme
要使用 itsme 创建帐户,请访问 Azure Marketplace 上的 itsme。
通过发送电子邮件 onboarding@itsme.be至 来激活您的 itsme 帐户。 您将收到 B2C 设置所需的 Partner code (合作伙伴代码 ) 和 Service code (服务代码 )。
激活 itsme 合作伙伴账户后,您将收到一封电子邮件,其中包含指向 客户端密钥的一次性链接。
按照 itsme 中的说明完成配置。
与 Azure AD B2C 集成
在 Azure AD B2C 中设置新的标识提供者
注释
如果您还没有 Azure AD B2C 租户,请创建一个链接到您的 Azure 订阅的 Azure AD B2C 租户。
如果有权访问多个租户,请选择顶部菜单中的“设置”图标,从“目录 + 订阅”菜单切换到你的 Azure AD B2C 租户。
在“ Azure 服务”下,选择“ Azure AD B2C ”(或选择 “更多服务 ”,然后使用“ 所有服务 ”搜索框搜索 Azure AD B2C)。
选择“标识提供程序”,然后选择“新建 OpenID Connect 提供程序” 。
在表单中填写以下信息:
资产 价值 名称 itsme 元数据 URL https://oidc.<environment>.itsme.services/clientsecret-oidc/csapi/v0.1/.well-known/openid-configuration
其中<environment>是e2e(测试环境)或prd(生产环境)ClientID 您的 客户端 ID,也称为 合作伙伴代码 客户端密码 您的 client_secret 范围 openid 服务:YOURSERVICECODE 个人资料 邮箱 [电话] [地址] 响应类型 代码 响应模式 查询 域提示 你可以将此留空 UserID 子项 显示名称 姓名 名 given_name 姓 姓氏 电子邮件 电子邮件 选择“保存”。
配置用户流
在 Azure AD B2C 租户的 “策略”下,选择 “用户流”。
选择“新建用户流”。
选择 “注册并登录”,选择一个版本,然后选择 “创建”。
输入“名称”。
在 Identity providers (身份提供商 ) 部分中,选择 itsme。
选择 创建。
通过选择用户流名称打开新创建的用户流。
选择 Properties 并调整以下值:
- 将 访问和ID令牌生命周期(分钟) 更改为 5。
- 将 Refresh token sliding window lifetime (刷新令牌滑动窗口生命周期 ) 更改为 No expiration (无过期)。
注册应用程序
在 B2C 租户的 “管理” 下,选择 “应用注册”>“新注册”。
为应用程序提供 Name (名称 ) 并输入您的 Redirect URI (重定向 URI)。 出于测试目的,请输入
https://jwt.ms。确保 Multi-Factor Authentication (多重身份验证) 处于 Disabled (禁用) 状态。
选择“注册”。
若要使用此应用注册来测试用户流,需要启用隐式授权流:
选择创建的应用注册。
在“管理”下,选择“身份验证”。
在“隐式授权和混合流”下,同时选中“访问令牌(用于隐式流)”和“ID 令牌(用于隐式流和混合流)”复选框。
选择“保存”。
注释
如果启用隐式授权来测试用户流,请确保在将应用部署到生产环境之前禁用隐式授权流设置。
测试用户流
在 B2C 租户中,在“策略”下选择“用户流”。
选择之前创建的用户流。
选择运行用户流。
a。 对于 Application (应用程序),选择您注册的应用程序。
b. 对于回复 URL,请选择已添加到应用的重定向 URL。 出于测试目的,请选择
https://jwt.ms。此时将显示 itsme Identity yourself 页面。
输入您的手机号码,然后选择 发送。
在 itsme 应用程序中确认动作。
后续步骤
有关其他信息,请查看以下文章: