通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure AD B2C 中的登录选项

Azure AD B2C 为应用程序的用户提供了多种注册和登录方法。 当用户注册应用程序时,可以确定他们是否会使用用户名、电子邮件地址或电话号码在 Azure AD B2C 租户中创建本地帐户。 还可以与社交标识提供者(如 Facebook、LinkedIn 和 X)和标准标识协议(如 OAuth 2.0、OpenID Connect 等)联合。

本文概述了 Azure AD B2C 登录选项。

电子邮件登录

在默认情况下,本地帐户标识提供者设置中会启用电子邮件注册。 使用电子邮件选项,用户可以使用其电子邮件地址和密码登录和注册。

  • 登录:系统会提示用户提供其电子邮件和密码。
  • 注册:系统会提示用户输入电子邮件地址,该地址在注册时进行验证(可选),并成为其登录 ID。 然后,用户输入注册页上请求的任何其他信息,例如显示名称、给定名称和姓氏。 然后选择 “继续 ”创建帐户。
  • 密码重置:用户输入并验证其电子邮件,之后用户可以重置密码

显示电子邮件注册或登录体验的一系列屏幕截图。

了解如何在本地帐户标识提供者中配置电子邮件登录。

用户名登录

本地帐户标识提供者包含一个“用户名”选项,允许用户使用用户名和密码注册并登录到应用程序。

  • 登录:系统会提示用户提供其用户名和密码。
  • 注册:系统会提示用户输入用户名,该用户名将成为其登录 ID。 用户还会提示输入一个电子邮件地址,该地址将在注册时进行验证。 电子邮件地址将在密码重置流期间使用。 用户输入注册页上请求的任何其他信息,例如显示名称、给定名称和姓氏。 然后,用户选择“继续”创建帐户。
  • 密码重置:用户必须输入其用户名和关联的电子邮件地址。 必须验证电子邮件地址,之后用户才能重置密码。

显示注册或登录体验的一系列屏幕截图。

手机登录

电话登录是本地帐户标识提供者设置中的无密码选项。 此方法允许用户使用电话号码作为其主要标识符注册应用。 一次性密码通过短信发送给用户。 在注册和登录期间,用户将具有以下体验:

  • 登录:如果用户具有一个具有电话号码的现有帐户作为其标识符,则用户输入其电话号码并选择 “登录”。 他们通过选择 “继续”确认国家/地区和电话号码,并将一次性验证码发送到其电话。 用户输入验证码并选择 “继续 登录”。
  • 注册:如果用户还没有应用程序的帐户,他们可以单击 “立即注册 ”链接创建一个帐户。
    1. 此时会显示一个注册页,用户在其中选择其 国家/地区,输入其电话号码,然后选择 “发送代码”。
    2. 一次性验证码将发送到用户的电话号码。 用户在注册页上输入 验证码 ,然后选择 “验证码”。 (如果用户无法检索代码,则可以选择“ 发送新代码”。
    3. 用户输入注册页上请求的任何其他信息,例如显示名称、给定名称和姓氏。 然后选择“继续”。
    4. 接下来,系统会要求用户提供 恢复电子邮件。 用户输入其电子邮件地址,然后选择 “发送验证码”。 将代码发送到用户的电子邮件收件箱,他们可以在验证码框中检索和输入代码。 然后,用户选择“验证代码”。
    5. 验证代码后,用户选择 “创建” 以创建其帐户。

显示手机注册或登录体验的一系列屏幕截图。

手机登录的定价

使用短信向用户发送一次性密码。 根据您的移动网络运营商,您发送的每条消息可能会收取费用。 有关定价信息,请参阅 Azure Active Directory B2C 定价“单独费用”部分。

注释

使用电话注册配置用户流时,默认情况下禁用多重身份验证(MFA)。 你可以在具有电话注册的用户流中启用 MFA,但是,由于使用电话号码作为主标识符,因此,对于第二个身份验证因素,只提供电子邮件一次性密码这一个选项。

手机恢复

为用户流启用手机注册和登录时,最好启用恢复电子邮件功能。 借助此功能,用户可以提供电子邮件地址,以便在没有手机时用于恢复其帐户。 此电子邮件地址仅用于帐户恢复。 它不能用于登录。

  • 当恢复电子邮件提示 为“打开”时,系统会提示用户首次注册以验证备份电子邮件。 以前未提供恢复电子邮件的用户会在下次登录时被要求验证备份电子邮件。

  • 当恢复电子邮件设置为关闭时,注册或登录的用户将不会看到恢复电子邮件提示。

以下屏幕截图演示了电话恢复流:

展示手机恢复流程的用户流示意图。

电话或电子邮件登录

可以选择合并 手机登录,以及本地帐户标识提供者设置中的 电子邮件登录 。 在注册或登录页中,用户可以键入电话号码或电子邮件地址。 Azure AD B2C 根据用户输入将用户转到相应的流。

显示手机或电子邮件注册或登录体验的一系列屏幕截图。

联合登录

可以将 Azure AD B2C 配置为允许用户使用外部社交或企业标识提供者(IdP)的凭据登录到应用程序。 Azure AD B2C 支持许多 外部标识提供者 和任何支持 OAuth 1.0、OAuth 2.0、OpenID Connect 和 SAML 协议的标识提供者。

借助外部标识提供者联合身份验证,你可以为使用者提供使用其现有社交或企业帐户登录的功能,而无需仅为应用程序创建新帐户。

在注册或登录页上,Azure AD B2C 提供用户可选择登录的外部标识提供者列表。 选择外部标识提供者之一后,会重定向到所选提供商的网站以完成登录过程。 用户成功登录后,会返回到 Azure AD B2C,以便在应用程序中对帐户进行身份验证。

图示展示了使用社交帐户(Facebook)的移动登录示例。

可以使用 Azure 门户将 Azure Active Directory B2C(Azure AD B2C)支持的标识提供者添加到 用户流 。 还可以将标识提供者添加到 自定义策略

后续步骤