你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 Azure Active Directory B2C 应用发布到 Microsoft Entra 应用库
Microsoft Entra 应用库是数千个应用的目录。 通过应用库,可以轻松部署和配置单一登录 (SSO) 并自动执行用户设置。 可以在库中找到常用云应用,例如 Workday、ServiceNow 和 Zoom。
本文介绍如何将 Azure Active Directory B2C (Azure AD B2C) 应用发布到 Microsoft Entra 应用库。 发布应用后,它会列在客户在向 Microsoft Entra 租户添加应用时可以选择的选项中。
以下是将 Azure AD B2C 应用添加到应用库的一些好处:
- 你的应用是经过验证的与 Microsoft 的集成。
- 在你的应用与 Microsoft Entra 应用之间启用了 SSO 访问。
- 客户可以通过快速搜索在库中找到你的应用。
- 简化并最小化了应用配置。
- 客户可以获得分步配置教程。
- 客户可以将应用分配给其组织中的各个用户和组。
- 租户管理员可以向应用授予租户范围的管理员同意。
登录流概述
登录流涉及以下步骤:
- 用户转到“我的应用”门户,然后选择你的应用。 应用将打开应用登录 URL。
- 应用登录 URL 启动授权请求,并将用户重定向到 Azure AD B2C 授权终结点。
- 用户选择使用其 Microsoft Entra ID“公司”帐户进行登录。 Azure AD B2C 将用户引到 Microsoft Entra 授权终结点,在其中他们使用工作帐户进行登录。
- 如果 Microsoft Entra SSO 会话处于活动状态,Microsoft Entra ID 会发出访问令牌,但不会提示用户再次登录。 否则,系统会提示用户再次登录。
根据用户的 SSO 会话和 Microsoft Entra 标识设置,系统可能会提示他们执行以下操作:
提供其电子邮件地址或电话号码。
输入其密码或通过 Microsoft Authenticator 应用登录。
完成多重身份验证。
接受同意页。 客户的租户管理员可以向应用授予租户范围的管理员同意。 授予同意后,不会向用户显示同意页。
成功登录后,Microsoft Entra ID 将令牌返回到 Azure AD B2C。 Azure AD B2C 验证并读取令牌声明,然后将令牌返回到应用程序。
先决条件
- 完成 Active Directory B2C 中的自定义策略入门中的步骤。
- 如果你还没有这样做,请注册 Web 应用程序。
步骤 1:在 Azure AD B2C 中注册应用程序
要实现通过 Azure AD B2C 登录到应用,请在 Azure AD B2C 目录中注册应用。 注册应用会在应用与 Azure AD B2C 之间建立信任关系。
如果你还没有这样做,请注册 Web 应用程序。 稍后,你将向 Azure 应用库注册此应用。
步骤 2:为多租户Microsoft Entra ID 设置登录
若要使任何 Microsoft Entra 租户的员工和客户可以使用 Azure AD B2C 进行登录,请遵循为多租户 Microsoft Entra ID 设置登录的指南。
步骤 3:准备应用
在应用中,复制登录终结点的 URL。 如果使用 Web 应用程序示例,则登录 URL 为 https://localhost:5001/MicrosoftIdentity/Account/SignIn?
。 此 URL 是 Microsoft Entra 应用库引导用户登录到你的应用的位置。
在生产环境中,应用注册重定向 URI 通常是运行应用的可公开访问的终结点。 回复 URL 必须以 https
开头。
步骤 4:发布 Azure AD B2C 应用
最后,将多租户应用添加到 Microsoft Entra 应用库。 遵循将应用发布到 Microsoft Entra 应用库中的说明。 若要将应用添加到应用库,请执行以下步骤:
提交应用并提供以下信息:
问题 应提供的答案 你希望提交哪种类型的请求? 选择“在库中列出我的应用程序”。 在库中列出应用程序时,希望启用哪些功能? 选择“联合 SSO(SAML、WS-Fed & OpenID Connect)”。 选择应用程序联合身份验证协议 选择“OpenID Connect & OAuth 2.0”。 应用程序(客户端)ID 提供 Azure AD B2C 应用程序的 ID。 应用程序登录 URL 提供在步骤 3. 准备应用中配置的应用登录 URL。 多租户 请选择“是”。