使用 Azure Active Directory B2C 以行動標識碼設定註冊和登入
開始之前,請使用 [選擇原則類型 選取器] 來選擇您要設定的原則類型。 Azure Active Directory B2C 提供兩種方法來定義使用者如何與您的應用程式互動:透過預先 定義的使用者流程 ,或透過完全可設定 的自定義原則。 本文中每個方法所需的步驟都不同。
在本文中,您將瞭解如何使用 Azure Active Directory B2C(Azure AD B2C),為應用程式中具有 行動 標識碼的客戶提供註冊和登入。 行動標識符解決方案可透過完整的端對端解決方案來保護公司數據和應用程式的存取,以進行強式多重要素驗證(MFA)。 您可以使用 OpenID 連線 通訊協定,將行動標識元新增至使用者流程或自定義原則。
必要條件
- 建立使用者流程 ,讓使用者可以註冊並登入您的應用程式。
- 註冊 Web 應用程式。
- 完成開始使用 Active Directory B2C 中的自定義原則中的 步驟
- 註冊 Web 應用程式。
建立行動標識碼應用程式
若要為 Azure AD B2C 中具有行動識別碼的使用者啟用登入,您需要建立應用程式。 若要建立行動標識碼應用程式,請遵循下列步驟:
請連絡 行動標識碼支持人員。
提供 Azure AD B2C 租使用者的相關信息:行動裝置識別碼:
索引鍵 注意 重新導向 URI https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp
提供 URI。 如果您使用 自訂網域,請輸入https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp
。 取代為您的租使用者名稱,並以your-domain-name
您的自訂網域取代your-tenant-name
。令牌端點驗證方法 client_secret_post
註冊應用程式之後,行動裝置標識碼會提供下列資訊。 使用這項資訊來設定您的使用者流程或自定義原則。
索引鍵 注意 用戶端識別碼 行動標識碼用戶端識別碼。 例如,1111111-2222-3333-4444-555555555555555。 用戶端密碼 行動標識碼客戶端密碼。
將行動標識碼設定為識別提供者
如果您有多個租使用者的存取權,請選取頂端功能表中的 設定 圖示,從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租使用者。
選擇 Azure 入口網站 左上角的 [所有服務],然後搜尋並選取 [Azure AD B2C]。
選取 [識別提供者],然後選取 [新增 OpenID 連線 提供者]。
輸入名稱。 例如,輸入 行動標識碼。
針對 [元數據 URL],輸入 URL 行動標識碼 OpenId 已知的組態端點。 例如:
https://openid.mobileid.ch/.well-known/openid-configuration
針對 [ 用戶端識別碼],輸入 [行動標識符用戶端標識符]。
針對 [客戶端密碼],輸入行動標識元客戶端密碼。
針對 [ 範圍],輸入
openid, profile, phone, mid_profile
。保留回應類型 () 和回應模式 (
form_post
) 的預設值。code
(選擇性)針對 [ 網域提示],輸入
mobileid.ch
。 如需詳細資訊,請參閱 使用 Azure Active Directory B2C 設定直接登入。在 [識別提供者宣告對應] 底下,選取下列宣告:
- 用戶標識碼: 子
- 顯示名稱:名稱
選取 [儲存]。
將行動標識碼識別提供者新增至使用者流程
此時,行動標識碼識別提供者已設定,但尚未在任何登入頁面中提供。 若要將行動標識碼識別提供者新增至使用者流程:
- 在您的 Azure AD B2C 租使用者中,選取 [ 使用者流程]。
- 選取您想要新增行動標識碼識別提供者的使用者流程。
- 在 [ 社交識別提供者] 底下,選取 [ 行動標識符]。
- 選取 [儲存]。
- 若要測試您的原則,請選取 [ 執行使用者流程]。
- 針對 [ 應用程式],選取您先前註冊的名為 testapp1 的Web應用程式。 回覆 URL 應該會顯示
https://jwt.ms
。 - 選取 [ 執行使用者流程 ] 按鈕。
- 從 [註冊或登入] 頁面中,選取 [行動標識符] 以使用 [行動 標識符] 登入。
如果登入程式成功,您的瀏覽器會重新導向至 https://jwt.ms
,以顯示 Azure AD B2C 所傳回令牌的內容。
建立原則金鑰
您必須將您從行動識別碼收到的用戶端密碼儲存在 Azure AD B2C 租使用者中。
- 登入 Azure 入口網站。
- 請確定您使用的是包含 Azure AD B2C 租用戶的目錄。 選取頂端功能表中的 [ 目錄 + 訂 用帳戶] 篩選,然後選擇包含您租用戶的目錄。
- 選擇 Azure 入口網站 左上角的 [所有服務],然後搜尋並選取 [Azure AD B2C]。
- 在 [概觀] 頁面上,選取 [ 身分識別體驗架構]。
- 選取 [ 原則密鑰 ],然後選取 [ 新增]。
- 針對 [ 選項],選擇
Manual
。 - 輸入 原則金鑰的 [名稱 ]。 例如:
Mobile IDSecret
。 前置詞B2C_1A_
會自動新增至金鑰的名稱。 - 在 [ 秘密] 中,輸入您的行動標識符客戶端密碼。
- 針對 [ 金鑰使用方式],選取
Signature
。 - 選取建立。
將行動標識碼設定為識別提供者
若要讓使用者使用行動標識元登入,您必須將行動標識元定義為 Azure AD B2C 可以透過端點通訊的宣告提供者。 端點提供一組宣告,供 Azure AD B2C 用來驗證特定使用者已驗證。
您可以將行動標識碼定義為宣告提供者,方法是將它新增至 原則擴充檔案中的 ClaimsProviders 元素。
開啟 TrustFrameworkExtensions.xml。
尋找 ClaimsProviders 元素。 如果不存在,請在根元素底下新增它。
新增 ClaimsProvider,如下所示:
<ClaimsProvider> <Domain>mobileid.ch</Domain> <DisplayName>Mobile-ID</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="MobileID-OAuth2"> <DisplayName>Mobile-ID</DisplayName> <Protocol Name="OAuth2" /> <Metadata> <Item Key="ProviderName">Mobile-ID</Item> <Item Key="authorization_endpoint">https://m.mobileid.ch/oidc/authorize</Item> <Item Key="AccessTokenEndpoint">https://openid.mobileid.ch/token</Item> <Item Key="ClaimsEndpoint">https://openid.mobileid.ch/userinfo</Item> <Item Key="scope">openid, profile, phone, mid_profile</Item> <Item Key="HttpBinding">POST</Item> <Item Key="UsePolicyInRedirectUri">false</Item> <Item Key="token_endpoint_auth_method">client_secret_post</Item> <Item Key="BearerTokenTransmissionMethod">AuthorizationHeader</Item> <Item Key="client_id">Your application ID</Item> </Metadata> <CryptographicKeys> <Key Id="client_secret" StorageReferenceId="B2C_1A_MobileIdSecret" /> </CryptographicKeys> <OutputClaims> <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub"/> <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name"/> <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="mobileid.ch" /> <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" /> </OutputClaims> <OutputClaimsTransformations> <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" /> <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" /> <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" /> <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" /> </OutputClaimsTransformations> <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" /> </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>
將client_id設定為 [行動標識符] 用戶端識別符。
儲存檔案。
新增使用者旅程圖
此時,識別提供者已設定,但尚未在任何登入頁面中提供。 如果您沒有自己的自定義使用者旅程圖,請建立現有範本使用者旅程圖的重複項目,否則請繼續進行下一個步驟。
- 從入門套件開啟 TrustFrameworkBase.xml 檔案。
- 尋找並複製包含
Id="SignUpOrSignIn"
之 UserJourney 元素的整個內容。 - 開啟 TrustFrameworkExtensions.xml 並尋找 UserJourneys 元素。 如果專案不存在,請新增一個。
- 貼上您複製為 UserJourneys 元素子系之 UserJourney 元素的整個內容。
- 重新命名使用者旅程圖的標識碼。 例如:
Id="CustomSignUpSignIn"
。
將識別提供者新增至使用者旅程圖
現在您已擁有使用者旅程圖,請將新的識別提供者新增至使用者旅程圖。 您必須先新增登入按鈕,然後將按鈕連結至動作。 動作是您稍早建立的技術配置檔。
尋找在
Type="CombinedSignInAndSignUp"
使用者旅程圖中包含 或Type="ClaimsProviderSelection"
的協調流程步驟元素。 通常是第一個協調流程步驟。 ClaimsProviderSelections 元素包含使用者可以登入的識別提供者清單。 元素的順序會控制向用戶呈現的登入按鈕順序。 新增 ClaimsProviderSelection XML 元素。 將 TargetClaimsExchangeId 的值設定為易記名稱。在下一個 協調流程步驟中,新增 ClaimsExchange 元素。 將標識符設定為目標宣告交換標識碼的值。將TechnicalProfileReferenceId的值更新為您稍早建立之技術配置檔的標識碼。
下列 XML 示範使用者旅程圖的前兩個協調流程步驟與識別提供者:
<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
<ClaimsProviderSelections>
...
<ClaimsProviderSelection TargetClaimsExchangeId="MobileIDExchange" />
</ClaimsProviderSelections>
...
</OrchestrationStep>
<OrchestrationStep Order="2" Type="ClaimsExchange">
...
<ClaimsExchanges>
<ClaimsExchange Id="MobileIDExchange" TechnicalProfileReferenceId="MobileID-OAuth2" />
</ClaimsExchanges>
</OrchestrationStep>
設定信賴憑證者原則
信賴憑證者原則,例如 SignUpSignIn.xml,會指定 Azure AD B2C 將執行的使用者旅程圖。 尋找信賴憑證者內的DefaultUserJourney元素。 更新 ReferenceId 以符合您新增識別提供者的使用者旅程圖識別碼。
在下列範例中 CustomSignUpSignIn
,針對使用者旅程圖, ReferenceId 會設定為 CustomSignUpSignIn
:
<RelyingParty>
<DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
...
</RelyingParty>
上傳自訂原則
- 登入 Azure 入口網站。
- 在入口網站工具列中選取 [ 目錄 + 訂 用帳戶] 圖示,然後選取包含 Azure AD B2C 租使用者的目錄。
- 在 Azure 入口網站中,搜尋並選取 [Azure AD B2C]。
- 在 [原則] 底下 ,選取 [ 身分識別體驗架構 ]。
- 選取 [ 上傳自訂原則 ],然後上傳您變更的兩個原則檔案,順序如下:擴充原則,例如
TrustFrameworkExtensions.xml
,然後是信賴憑證者原則,例如SignUpSignIn.xml
。
測試您的自訂原則
- 選取您的信賴憑證者原則,例如
B2C_1A_signup_signin
。 - 針對 [ 應用程式 ],選取您 先前註冊的 Web 應用程式。 回復 URL 應該會顯示
https://jwt.ms
。 - 選取 [ 立即 執行] 按鈕。
- 從 [註冊或登入] 頁面中,選取 [行動識別碼] 以使用 [行動 識別碼] 登入。
如果登入程式成功,您的瀏覽器會重新導向至 https://jwt.ms
,以顯示 Azure AD B2C 所傳回權杖的內容。
下一步
瞭解如何將 行動識別碼權杖傳遞至您的應用程式 。