這很重要
自 2025 年 5 月 1 日起,Azure AD B2C 將不再可供新客戶購買。 在我們的常見問題中深入瞭解。
開始之前,請使用此頁面頂端的 [選擇原則類型] 選取器,選擇您要設定的原則類型。 Azure Active Directory B2C 提供兩種方法來定義使用者如何與您的應用程式互動:透過預先定義的使用者流程,或透過完全可設定的自訂原則。 此文章中所需的步驟隨各方法而異。
登入流程概觀
登入原則可讓使用者:
- 使用 Azure AD B2C 本機帳戶登入
- 使用者可以使用社交帳戶登入
- 密碼重設
- 用戶無法註冊 Azure AD B2C 本機帳戶。 若要建立帳戶,系統管理員可以使用 Azure 入口網站或Microsoft圖形 API。
先決條件
- 如果您尚未這麼做, 請在 Azure Active Directory B2C 中註冊 Web 應用程式。
- 完成在 Azure Active Directory B2C 中建立使用者流程和自定義原則中的步驟。
建立登入使用者流程
若要新增登入原則:
登入 Azure 入口網站。
如果您有多個租用戶的存取權,請使用頂端功能表中的 [設定] 圖示,從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租用戶。
在 Azure 入口網站中,搜尋並選取 [Azure AD B2C]。
在 [ 原則] 底下,選取 [使用者流程],然後選取 [ 新增使用者流程]。
在 [ 建立使用者流程] 頁面上,選取 [登入 使用者流程]。
在 [ 選取版本] 底下,選取 [ 建議],然後選取 [ 建立]。 (深入了解 使用者流程版本。)
輸入使用者流程的名稱。 例如,signupsignin1。
在 [ 識別提供者 ] 下,選取至少一個識別提供者:
在 [多重要素驗證] 下,如果您想要要求使用者使用第二個驗證方法驗證其身分識別,請選擇方法類型,以及何時強制執行多重要素驗證 (MFA)。 深入瞭解。
在 [條件式存取] 底下,如果您已為 Azure AD B2C 租使用者設定條件式存取原則,而且您想要針對此使用者流程啟用條件式存取原則,請選取 [ 強制執行條件式存取原則 ] 複選框。 您不需要指定原則名稱。 深入瞭解。
在 [應用程式宣告] 下,選擇您想要在令牌中傳回至應用程式的宣告。 如需值的完整清單,請選取 [ 顯示更多],選擇值,然後選取 [ 確定]。
備註
您也可以 建立自定義屬性 ,以在 Azure AD B2C 租使用者中使用。
按兩下 [建立] 以新增使用者流程。 B2C_1字首會自動加到名稱前。
測試使用者流程
- 選取您建立的使用者流程以開啟其概觀頁面,然後選取 [ 執行使用者流程]。
- 針對 [應用程式],選取您先前註冊名為 webapp1 的 Web 應用程式。
Reply URL 應顯示
https://jwt.ms
。 - 按一下執行使用者流程。
- 您應該能夠使用您建立的帳戶登入(使用 MS Graph API),而不需要註冊連結。 傳回的令牌包含您選取的宣告。
拿掉註冊連結
SelfAsserted-LocalAccountSignin-Email 技術配置檔是自我判斷提示,會在註冊或登入流程期間叫用。 若要移除註冊連結,請將 setting.showSignupLink
元資料設定為 false
。 覆寫延伸模組檔案中的 SelfAsserted-LocalAccountSignin-Email 技術配置檔。
開啟您政策的延伸檔案。 例如:
SocialAndLocalAccounts/
TrustFrameworkExtensions.xml
。尋找
ClaimsProviders
元素。 如果元素不存在,加以新增。將下列宣告提供者新增至
ClaimsProviders
專案:<!-- <ClaimsProviders> --> <ClaimsProvider> <DisplayName>Local Account</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="SelfAsserted-LocalAccountSignin-Email"> <Metadata> <Item Key="setting.showSignupLink">false</Item> </Metadata> </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider> <!-- </ClaimsProviders> -->
在 元素內
<BuildingBlocks>
,新增下列 ContentDefinition 以參考 1.2.0 版或更新的數據 URI:<!-- <BuildingBlocks> <ContentDefinitions>--> <ContentDefinition Id="api.localaccountsignup"> <DataUri>urn:com:microsoft:aad:b2c:elements:contract:unifiedssp:1.2.0</DataUri> </ContentDefinition> <!-- </ContentDefinitions> </BuildingBlocks> -->
更新和測試您的原則
- 登入 Azure 入口網站。
- 如果您有多個租用戶的存取權,請使用頂端功能表中的 [設定] 圖示,從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租用戶。
- 選擇 Azure 入口網站左上角 的 [所有服務 ],然後搜尋並選取 [ 應用程式註冊]。
- 選取 [ 身分識別體驗架構]。
- 選取 [上傳自定義原則],然後上傳您變更的原則檔案, TrustFrameworkExtensions.xml。
- 選取您上傳的登入原則,然後按兩下 [ 立即執行 ] 按鈕。
- 您應該能夠使用您建立的帳戶登入(使用 MS Graph API),而不需要註冊連結。
後續步驟
- 新增一個以社交身份提供者登入的選項。
- 設定 密碼重設流程。