在 Azure Active Directory B2C 中設定登入流程

這很重要

自 2025 年 5 月 1 日起，Azure AD B2C 將不再可供新客戶購買。 在我們的常見問題中深入瞭解。

開始之前，請使用此頁面頂端的 [選擇原則類型] 選取器，選擇您要設定的原則類型。 Azure Active Directory B2C 提供兩種方法來定義使用者如何與您的應用程式互動：透過預先定義的使用者流程，或透過完全可設定的自訂原則。 此文章中所需的步驟隨各方法而異。

登入流程概觀

登入原則可讓使用者：

• 使用 Azure AD B2C 本機帳戶登入
• 使用者可以使用社交帳戶登入
• 密碼重設
• 用戶無法註冊 Azure AD B2C 本機帳戶。 若要建立帳戶，系統管理員可以使用 Azure 入口網站或Microsoft圖形 API。

先決條件

• 如果您尚未這麼做， 請在 Azure Active Directory B2C 中註冊 Web 應用程式。
• 完成在 Azure Active Directory B2C 中建立使用者流程和自定義原則中的步驟。

建立登入使用者流程

若要新增登入原則：

1. 登入 Azure 入口網站。

2. 如果您有多個租用戶的存取權，請使用頂端功能表中的 [設定] 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租用戶。

3. 在 Azure 入口網站中，搜尋並選取 [Azure AD B2C]。

4. 在 [ 原則] 底下，選取 [使用者流程]，然後選取 [ 新增使用者流程]。

5. 在 [ 建立使用者流程] 頁面上，選取 [登入 使用者流程]。

6. 在 [ 選取版本] 底下，選取 [ 建議]，然後選取 [ 建立]。 （深入了解 使用者流程版本。）

7. 輸入使用者流程的名稱。 例如，signupsignin1。

8. 在 [ 識別提供者 ] 下，選取至少一個識別提供者：

   • 在 [本機帳戶] 底下，選取下列其中一項：[電子郵件登入]、[使用者標識符登入]、[電話登入]、[電話/電子郵件登入]、[使用者標識符/電子郵件登入] 或 [無]。 深入瞭解。
   • 在 [社交識別提供者] 下，選取您已設定的任何外部社交或企業識別提供者。 深入瞭解。

9. 在 [多重要素驗證] 下，如果您想要要求使用者使用第二個驗證方法驗證其身分識別，請選擇方法類型，以及何時強制執行多重要素驗證 （MFA）。 深入瞭解。

10. 在 [條件式存取] 底下，如果您已為 Azure AD B2C 租使用者設定條件式存取原則，而且您想要針對此使用者流程啟用條件式存取原則，請選取 [ 強制執行條件式存取原則 ] 複選框。 您不需要指定原則名稱。 深入瞭解。

11. 在 [應用程式宣告] 下，選擇您想要在令牌中傳回至應用程式的宣告。 如需值的完整清單，請選取 [ 顯示更多]，選擇值，然後選取 [ 確定]。

    備註

    您也可以 建立自定義屬性 ，以在 Azure AD B2C 租使用者中使用。

12. 按兩下 [建立] 以新增使用者流程。 B2C_1字首會自動加到名稱前。

測試使用者流程

1. 選取您建立的使用者流程以開啟其概觀頁面，然後選取 [ 執行使用者流程]。
2. 針對 [應用程式]，選取您先前註冊名為 webapp1 的 Web 應用程式。 Reply URL 應顯示 https://jwt.ms。
3. 按一下執行使用者流程。
4. 您應該能夠使用您建立的帳戶登入（使用 MS Graph API），而不需要註冊連結。 傳回的令牌包含您選取的宣告。

拿掉註冊連結

SelfAsserted-LocalAccountSignin-Email 技術配置檔是自我判斷提示，會在註冊或登入流程期間叫用。 若要移除註冊連結，請將 setting.showSignupLink 元資料設定為 false。 覆寫延伸模組檔案中的 SelfAsserted-LocalAccountSignin-Email 技術配置檔。

1. 開啟您政策的延伸檔案。 例如： SocialAndLocalAccounts/TrustFrameworkExtensions.xml 。

2. 尋找 ClaimsProviders 元素。 如果元素不存在，加以新增。

3. 將下列宣告提供者新增至 ClaimsProviders 專案：

   <!--
   <ClaimsProviders> -->
     <ClaimsProvider>
       <DisplayName>Local Account</DisplayName>
       <TechnicalProfiles>
         <TechnicalProfile Id="SelfAsserted-LocalAccountSignin-Email">
           <Metadata>
             <Item Key="setting.showSignupLink">false</Item>
           </Metadata>
         </TechnicalProfile>
       </TechnicalProfiles>
     </ClaimsProvider>
   <!--
   </ClaimsProviders> -->
   

4. 在 元素內 <BuildingBlocks> ，新增下列 ContentDefinition 以參考 1.2.0 版或更新的數據 URI：

   <!-- 
   <BuildingBlocks> 
     <ContentDefinitions>-->
       <ContentDefinition Id="api.localaccountsignup">
         <DataUri>urn:com:microsoft:aad:b2c:elements:contract:unifiedssp:1.2.0</DataUri>
       </ContentDefinition>
     <!--
     </ContentDefinitions>
   </BuildingBlocks> -->
   

更新和測試您的原則

1. 登入 Azure 入口網站。
2. 如果您有多個租用戶的存取權，請使用頂端功能表中的 [設定] 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租用戶。
3. 選擇 Azure 入口網站左上角 的 [所有服務 ]，然後搜尋並選取 [ 應用程式註冊]。
4. 選取 [ 身分識別體驗架構]。
5. 選取 [上傳自定義原則]，然後上傳您變更的原則檔案， TrustFrameworkExtensions.xml。
6. 選取您上傳的登入原則，然後按兩下 [ 立即執行 ] 按鈕。
7. 您應該能夠使用您建立的帳戶登入（使用 MS Graph API），而不需要註冊連結。

後續步驟

• 新增一個以社交身份提供者登入的選項。
• 設定 密碼重設流程。