共用方式為


在 Azure Active Directory B2C 中設定登入流程

這很重要

自 2025 年 5 月 1 日起,Azure AD B2C 將不再可供新客戶購買。 在我們的常見問題中深入瞭解

開始之前,請使用此頁面頂端的 [選擇原則類型] 選取器,選擇您要設定的原則類型。 Azure Active Directory B2C 提供兩種方法來定義使用者如何與您的應用程式互動:透過預先定義的使用者流程,或透過完全可設定的自訂原則。 此文章中所需的步驟隨各方法而異。

登入流程概觀

登入原則可讓使用者:

  • 使用 Azure AD B2C 本機帳戶登入
  • 使用者可以使用社交帳戶登入
  • 密碼重設
  • 用戶無法註冊 Azure AD B2C 本機帳戶。 若要建立帳戶,系統管理員可以使用 Azure 入口網站或Microsoft圖形 API

配置文件編輯流程

先決條件

建立登入使用者流程

若要新增登入原則:

  1. 登入 Azure 入口網站

  2. 如果您有多個租用戶的存取權,請使用頂端功能表中的 [設定] 圖示,從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租用戶。

  3. 在 Azure 入口網站中,搜尋並選取 [Azure AD B2C]

  4. 在 [ 原則] 底下,選取 [使用者流程],然後選取 [ 新增使用者流程]。

  5. 在 [ 建立使用者流程] 頁面上,選取 [登入 使用者流程]。

  6. 在 [ 選取版本] 底下,選取 [ 建議],然後選取 [ 建立]。 (深入了解 使用者流程版本。)

  7. 輸入使用者流程的名稱。 例如,signupsignin1

  8. 在 [ 識別提供者 ] 下,選取至少一個識別提供者:

    • 在 [本機帳戶] 底下,選取下列其中一項:[電子郵件登入]、[使用者標識符登入]、[電話登入]、[電話/電子郵件登入]、[使用者標識符/電子郵件登入] 或 [無]。 深入瞭解
    • [社交識別提供者] 下,選取您已設定的任何外部社交或企業識別提供者。 深入瞭解
  9. [多重要素驗證] 下,如果您想要要求使用者使用第二個驗證方法驗證其身分識別,請選擇方法類型,以及何時強制執行多重要素驗證 (MFA)。 深入瞭解

  10. [條件式存取] 底下,如果您已為 Azure AD B2C 租使用者設定條件式存取原則,而且您想要針對此使用者流程啟用條件式存取原則,請選取 [ 強制執行條件式存取原則 ] 複選框。 您不需要指定原則名稱。 深入瞭解

  11. [應用程式宣告] 下,選擇您想要在令牌中傳回至應用程式的宣告。 如需值的完整清單,請選取 [ 顯示更多],選擇值,然後選取 [ 確定]。

    備註

    您也可以 建立自定義屬性 ,以在 Azure AD B2C 租使用者中使用。

  12. 按兩下 [建立] 以新增使用者流程。 B2C_1字首會自動加到名稱前。

測試使用者流程

  1. 選取您建立的使用者流程以開啟其概觀頁面,然後選取 [ 執行使用者流程]。
  2. 針對 [應用程式],選取您先前註冊名為 webapp1 的 Web 應用程式。 Reply URL 應顯示 https://jwt.ms
  3. 按一下執行使用者流程
  4. 您應該能夠使用您建立的帳戶登入(使用 MS Graph API),而不需要註冊連結。 傳回的令牌包含您選取的宣告。

SelfAsserted-LocalAccountSignin-Email 技術配置檔是自我判斷提示,會在註冊或登入流程期間叫用。 若要移除註冊連結,請將 setting.showSignupLink 元資料設定為 false。 覆寫延伸模組檔案中的 SelfAsserted-LocalAccountSignin-Email 技術配置檔。

  1. 開啟您政策的延伸檔案。 例如: SocialAndLocalAccounts/TrustFrameworkExtensions.xml

  2. 尋找 ClaimsProviders 元素。 如果元素不存在,加以新增。

  3. 將下列宣告提供者新增至 ClaimsProviders 專案:

    <!--
    <ClaimsProviders> -->
      <ClaimsProvider>
        <DisplayName>Local Account</DisplayName>
        <TechnicalProfiles>
          <TechnicalProfile Id="SelfAsserted-LocalAccountSignin-Email">
            <Metadata>
              <Item Key="setting.showSignupLink">false</Item>
            </Metadata>
          </TechnicalProfile>
        </TechnicalProfiles>
      </ClaimsProvider>
    <!--
    </ClaimsProviders> -->
    
  4. 在 元素內 <BuildingBlocks> ,新增下列 ContentDefinition 以參考 1.2.0 版或更新的數據 URI:

    <!-- 
    <BuildingBlocks> 
      <ContentDefinitions>-->
        <ContentDefinition Id="api.localaccountsignup">
          <DataUri>urn:com:microsoft:aad:b2c:elements:contract:unifiedssp:1.2.0</DataUri>
        </ContentDefinition>
      <!--
      </ContentDefinitions>
    </BuildingBlocks> -->
    

更新和測試您的原則

  1. 登入 Azure 入口網站
  2. 如果您有多個租用戶的存取權,請使用頂端功能表中的 [設定] 圖示,從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租用戶。
  3. 選擇 Azure 入口網站左上角 的 [所有服務 ],然後搜尋並選取 [ 應用程式註冊]。
  4. 選取 [ 身分識別體驗架構]。
  5. 選取 [上傳自定義原則],然後上傳您變更的原則檔案, TrustFrameworkExtensions.xml
  6. 選取您上傳的登入原則,然後按兩下 [ 立即執行 ] 按鈕。
  7. 您應該能夠使用您建立的帳戶登入(使用 MS Graph API),而不需要註冊連結。

後續步驟