適用於:白色圓圈,內有灰色 X 符號 
Workforce 租戶 
外部租戶(深入瞭解)
這很重要
自 2025 年 5 月 1 日起,Azure AD B2C 將不再可供新客戶購買。 若要深入瞭解,請參閱常見問題中的 Azure AD B2C 是否仍可供購買?
若要將 Azure AD B2C 租使用者設定為識別提供者,您必須建立 Azure AD B2C 自定義原則,然後建立應用程式。
先決條件
- 設定為自訂政策起始套件的 Azure AD B2C 租戶。 請參閱 教學課程 - 建立使用者流程和自定義原則 - Azure Active Directory B2C |Microsoft Learn
- 當電子郵件是 ID Token 中的必要要求時,若要接收電子郵件宣告,您可能需要在 Azure AD B2C 租戶中使用自定義原則。
- 您可以使用 自定義原則部署工具
設定您的自定義原則
如果在使用者流程中啟用,外部租戶可能會要求從您的 Azure AD B2C 自訂原則中傳回的令牌包含電子郵件宣告。
在佈建自訂原則起始套件之後,請從您的 Azure AD B2C 租用戶中的 B2C_1A_signup_signin 分頁下載 檔案。
- 登入 Azure 入口網站,然後選取 [Azure AD B2C]。
- 在概觀頁面上,在 [原則] 底下,選取 [身分識別體驗架構]。
- 搜尋並選取
B2C_1A_signup_signin檔案。 - 下載
B2C_1A_signup_signin。
在文字編輯器中開啟 B2C_1A_signup_signin.xml 檔案。 在 [<OutputClaims>] 節點底下,新增下列輸出宣告:
<OutputClaim ClaimTypeReferenceId="signInName" PartnerClaimType="email"/>
將檔案儲存為 B2C_1A_signup_signin.xml,然後透過 Azure AD B2C 租戶中的 身分識別體驗架構 blade 上傳它。 選擇 覆寫現有的政策。 此步驟可確保電子郵件位址會在 Azure AD B2C 驗證後,作為宣告發出給 Microsoft Entra ID。
將 Microsoft Entra 識別元註冊為應用程式
您必須在 Azure AD B2C 租戶中將 Microsoft Entra ID 註冊為一個應用程式。 此步驟可讓 Azure AD B2C 發給同盟的 Microsoft Entra ID 令牌。
若要建立應用程式:
登入 Azure 入口網站,然後選取 [Azure AD B2C]。
選取 [應用程式註冊],然後選取 [[新增註冊]。
在 [名稱下,輸入 “與 Microsoft Entra ID 聯合”。
在 支援的帳戶類型下,選取 任何身分提供者或組織目錄中的帳戶(用於驗證具有使用者流程的使用者)。
在 [重新導向 URI] 下,選取 [Web],然後輸入以下 URL,全部使用小寫字母,其中
tenant-subdomain會取代為您的 Entra 租使用者名稱(例如 Contoso):https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2例如:
https://contoso.ciamlogin.com/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/federation/oauth2https://contoso.ciamlogin.com/contoso.onmicrosoft.com/federation/oauth2如果您使用自訂網域,請輸入:
https://<your-domain-name>/<your-tenant-name>.onmicrosoft.com/oauth2/authresp將
your-domain-name取代為您的自定義網域,並將your-tenant-name取代為您的租用戶名稱。在 [許可權]下,選取 [授予管理員對 openid 和 offline_access 許可權的同意] 複選框。
選取 註冊。
在 [Azure AD B2C - 應用程式註冊] 頁面中,選取您建立的應用程式,並記錄應用程式概觀頁面上所顯示 應用程式(用戶端) 識別碼。 在下一節中設定識別提供者時,您需要此標識碼。
在左側功能表中,於 [管理] 下,選取 [憑證 & 秘密]。
選擇 新增客戶端密碼。
在 [描述] 方塊中輸入客戶端密碼的描述。 例如:「FederationWithEntraID」。
在 [到期] 下,選擇 [密鑰有效] 的持續時間,然後選取 [新增]。
記錄秘密的 值。 在下一節中設定識別提供者時,您需要此值。
將 Azure AD B2C 租戶設定為外部租戶中的身分識別提供者
建構 OpenID Connect well-known 端點:將 <your-B2C-tenant-name> 替換為您的 Azure AD B2C 租戶名稱。
如果您使用自訂網域名稱,請將 <custom-domain-name> 取代為您的自訂網域。 以您在 B2C 租戶中設定的政策名稱取代 <policy>。 如果您使用入門套件,則會是 B2C_1A_signup_signin 檔案。
https://<your-B2C-tenant-name>.b2clogin.com/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration
或
https://<custom-domain-name>/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration
- 將發行者 URI 設定為:
https://<your-b2c-tenant-name>.b2clogin.com/<your-b2c-tenant-id>/v2.0/,或如果您使用自訂網域,請使用您的自訂網域取代your-b2c-tenant-name.b2clogin.com。 - 針對 用戶端識別碼,輸入您先前記錄的應用程式識別碼。
- 選取 [客戶端驗證] 作為 [
client_secret]。 - 針對 客戶端密碼,輸入您先前記錄的客戶端密碼。
- 針對範圍,輸入
openid profile email offline_access - 選取 [
code作為回應類型。 - 針對宣告映射設定下列項目:
- 子:子系
- 名稱:名稱
- 指定名稱: given_name
- 姓氏: family_name
- 電子郵件(必要):電子郵件
建立身分識別提供者,並將它附加至與您的應用程式相關聯的使用者流程,以登入和註冊。