将多个 Azure AD（单租户）作为社交帐户添加到 B2C

本文介绍如何使用 Azure AD B2C 中的用户流为特定 Azure AD 组织中的用户启用登录。

注意

我们建议为实例配置多重身份验证。这将有助于增强平台的安全性。

步骤 1：注册 Azure AD 应用

若要为具有来自特定 Azure AD 组织的 Azure AD 帐户的用户启用登录，需要从 Azure Active Directory B2C 帐户（Azure AD B2C）Azure 门户中创建应用程序。有关详细信息，请参阅将应用程序注册到 Microsoft 标识平台。

登录到 Azure 门户。
请确保使用的是包含组织 Azure AD 租户的目录（例如，contoso.com）。选择顶部菜单中的“目录 + 订阅”筛选器，然后选择包含 Azure AD 租户的目录。
选择 Azure 门户左上角的“所有服务”，然后搜索并选择“应用注册” 。
选择“新注册”。
输入应用程序的名称。例如“Azure AD B2C 应用”。
对于此应用程序，接受默认选择“仅此组织目录中的帐户”。
对于“重定向 URI”，请接受“Web”值，然后输入以下 URL（全小写），请注意其中的 your-B2C-tenant-name 需替换为你的 Azure AD B2C 租户名称。

https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp
选择“ 注册 ”并记录 应用程序（客户端）ID ，以便在后续步骤中使用。
选择“证书和机密”，然后选择“新建客户端密码”。
输入机密的说明，选择过期时间，然后选择“添加”并记录机密的值，以便在后续步骤中使用。

请确保使用的是包含 Azure AD B2C 租户的目录。在顶部菜单中选择“目录 + 订阅”筛选器，然后选择包含 Azure AD B2C 租户的目录。
选择 Azure 门户左上角的“所有服务”，然后搜索并选择“Azure AD B2C” 。
选择“标识提供程序”，然后选择“新建 OpenID Connect 提供程序” 。
输入名称，例如输入 firstAD。
对于“元数据 URL”，请输入以下 URL，并将 {tenant} 替换为你的 Azure AD 租户的域名：https://login.microsoftonline.com/{tenant}/v2.0/.well-known/openid-configuration

例如：
- https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/.well-known/openid-configuration
- https://login.microsoftonline.com/contoso.com/v2.0/.well-known/openid-configuration
对于“客户端 ID”，输入之前记录的应用程序 ID。
对于“客户端机密”，请输入之前记录的客户端机密。
对于 Scope，请输入 openid 配置文件。
对于“响应类型”和“响应模式” ，请保留默认值。
对于可选域提示，请输入 contoso.com。有关详细信息，请参阅使用 Azure Active Directory B2C 设置直接登录。
在“标识提供者声明映射”下选择以下声明（参考以下屏幕截图）：
- 用户 ID：sub
- 显示名称：name
- 给定名称：given_name
- 姓氏：family_name
- 电子邮件：preferred_username
选择“保存” 。

此时，已设置 Azure AD 标识提供者，但在任何登录页中都不可用。若要将 Azure AD 标识提供者添加到用户流，请执行以下操作：

如果登录过程是成功的，则你的浏览器会被重定向到 https://jwt.ms，其中显示 Azure AD B2C 返回的令牌内容。

同样，可以将一个或多个 Azure AD（单租户）添加到 B2C，以将这些帐户用作社交帐户。配置成功后，你将发现，可以使用 AzureAD 租户作为登录到 MCT 应用程序的选项。

注意

添加多个租户时，请按照“添加自定义主页”文档添加自定义主页，并避免在选择租户时出现任何混淆。

如果有进一步的查询，请通过 HelpDesk 联系我们。