你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将 Azure Active Directory B2C 应用发布到 Microsoft Entra 应用库

  • 项目

Microsoft Entra 应用库是数千个应用的目录。 通过应用库,可以轻松部署和配置单一登录 (SSO) 并自动执行用户设置。 可以在库中找到常用云应用,例如 Workday、ServiceNow 和 Zoom。

本文介绍如何将 Azure Active Directory B2C (Azure AD B2C) 应用发布到 Microsoft Entra 应用库。 发布应用后,它会列在客户在向 Microsoft Entra 租户添加应用时可以选择的选项中。

以下是将 Azure AD B2C 应用添加到应用库的一些好处:

  • 你的应用是经过验证的与 Microsoft 的集成。
  • 在你的应用与 Microsoft Entra 应用之间启用了 SSO 访问。
  • 客户可以通过快速搜索在库中找到你的应用。
  • 简化并最小化了应用配置。
  • 客户可以获得分步配置教程。
  • 客户可以将应用分配给其组织中的各个用户和组。
  • 租户管理员可以向应用授予租户范围的管理员同意。

登录流概述

登录流涉及以下步骤:

  1. 用户转到“我的应用”门户,然后选择你的应用。 应用将打开应用登录 URL。
  2. 应用登录 URL 启动授权请求,并将用户重定向到 Azure AD B2C 授权终结点。
  3. 用户选择使用其 Microsoft Entra ID“公司”帐户进行登录。 Azure AD B2C 将用户引到 Microsoft Entra 授权终结点,在其中他们使用工作帐户进行登录。
  4. 如果 Microsoft Entra SSO 会话处于活动状态,Microsoft Entra ID 会发出访问令牌,但不会提示用户再次登录。 否则,系统会提示用户再次登录。

登录 OpenID 连接流的关系图。

根据用户的 SSO 会话和 Microsoft Entra 标识设置,系统可能会提示他们执行以下操作:

成功登录后,Microsoft Entra ID 将令牌返回到 Azure AD B2C。 Azure AD B2C 验证并读取令牌声明,然后将令牌返回到应用程序。

先决条件

步骤 1:在 Azure AD B2C 中注册应用程序

要实现通过 Azure AD B2C 登录到应用,请在 Azure AD B2C 目录中注册应用。 注册应用会在应用与 Azure AD B2C 之间建立信任关系。

如果你还没有这样做,请注册 Web 应用程序。 稍后,你将向 Azure 应用库注册此应用。

步骤 2:为多租户Microsoft Entra ID 设置登录

若要使任何 Microsoft Entra 租户的员工和客户可以使用 Azure AD B2C 进行登录,请遵循为多租户 Microsoft Entra ID 设置登录的指南。

步骤 3:准备应用

在应用中,复制登录终结点的 URL。 如果使用 Web 应用程序示例,则登录 URL 为 https://localhost:5001/MicrosoftIdentity/Account/SignIn?。 此 URL 是 Microsoft Entra 应用库引导用户登录到你的应用的位置。

在生产环境中,应用注册重定向 URI 通常是运行应用的可公开访问的终结点。 回复 URL 必须以 https 开头。

步骤 4:发布 Azure AD B2C 应用

最后,将多租户应用添加到 Microsoft Entra 应用库。 遵循将应用发布到 Microsoft Entra 应用库中的说明。 若要将应用添加到应用库,请执行以下步骤:

  1. 创建并发布文档

  2. 提交应用并提供以下信息:

    问题 应提供的答案
    你希望提交哪种类型的请求? 选择“在库中列出我的应用程序”。
    在库中列出应用程序时,希望启用哪些功能? 选择“联合 SSO(SAML、WS-Fed & OpenID Connect)”。
    选择应用程序联合身份验证协议 选择“OpenID Connect & OAuth 2.0”。
    应用程序(客户端)ID 提供 Azure AD B2C 应用程序的 ID。
    应用程序登录 URL 提供在步骤 3. 准备应用中配置的应用登录 URL。
    多租户 请选择“是”。

后续步骤