Konfigurieren von Azure Active Directory B2C mit Bluink eID-Me zur Identitätsüberprüfung

Bevor Sie anfangen

Azure Active Directory B2C (Azure AD B2C) verfügt über zwei Methoden zum Definieren der Benutzerinteraktion mit Anwendungen: vordefinierte Benutzerflüsse oder konfigurierbare benutzerdefinierte Richtlinien. Benutzerdefinierte Richtlinien behandeln komplexe Szenarien. Für die meisten Szenarien empfehlen wir Benutzerflüsse. Lesen Sie dazu die Übersicht über Benutzerflows und benutzerdefinierte Richtlinien.

Integrieren der Azure AD B2C-Authentifizierung in eID-Me

Erfahren Sie, wie Sie die Azure AD B2C-Authentifizierung in Bluink eID-Me integrieren, eine Identitätsüberprüfung und dezentrale digitale Identitätslösung für kanadische Bürger. Mit eID-Me überprüfen Azure AD B2C-Mandanten die Benutzeridentität und erhalten überprüfte Registrierungs- und Anmeldeidentitätsansprüche. Integration unterstützt mehrstufige Authentifizierung und kennwortlose Anmeldung mit einer sicheren digitalen Identität. Organisationen können die Anforderungen des Identity Assurance Level (IAL) 2 erfüllen und die Know-Your-Customer (KYC) Anforderungen erfüllen.

Weitere Informationen finden Sie unter bluink.ca: Bluink Ltd

Voraussetzungen

Um zu beginnen, benötigen Sie Folgendes:

• Ein Konto einer vertrauenswürdigen Partei mit eID-Me
  • Wechseln Sie zu bluink.ca, um mehr zu erfahren und eine Demo anzufordern
• Azure-Abonnement
  • Wenn Sie kein Konto haben, erhalten Sie ein kostenloses Azure-Konto.
• Ein Azure AD B2C-Mandant, der mit dem Azure-Abonnement verknüpft ist
  • Siehe Tutorial: Einen Azure AD B2C-Mandanten erstellen
• Eine Testversion oder Produktionsversion der eID-Me Digital ID-App
  • Wechseln Sie zu bluink.ca, um die eID-Me Digital ID-App herunterzuladen

Siehe auch Lernprogramm: Erstellen von Benutzerflüssen und benutzerdefinierten Richtlinien in Azure AD B2C.

Szenariobeschreibung

eID-Me ist in Azure AD B2C als OpenID Connect (OIDC)-Identitätsanbieter integriert. Die folgenden Komponenten umfassen die eID-Me-Lösung mit Azure AD B2C:

• Azure AD B2C-Mandant – konfiguriert als vertrauende Seite in eID-Me ermöglicht eID-Me, einem Azure AD B2C-Mandanten für die Registrierung und Anmeldung zu vertrauen
• Azure AD B2C-Mandantenanwendung – die Annahme ist, dass Mandanten eine Azure AD B2C-Mandantenanwendung benötigen.
  • Die Anwendung empfängt während der Transaktion Identitätsansprüche, die von Azure AD B2C empfangen werden
• eID-Me-Smartphone-Apps – Azure AD B2C-Mandantenbenutzer benötigen die App für iOS oder Android
• Ausgestellte digitale eID-Me-Identitäten – durch den eID-Me Identitätsnachweis
  • Den Benutzern wird eine digitale Identität für die digitale Brieftasche in der App zugewiesen. Gültige Identitätsdokumente sind erforderlich.

Die eID-Me-Apps authentifizieren Benutzer während Transaktionen. Die X509-Authentifizierung mit öffentlichem Schlüssel stellt kennwortlose MFA bereit, wobei ein privater Signaturschlüssel in der digitalen eID-Me-Identität verwendet wird.

Das folgende Diagramm veranschaulicht die eID-Me-Identitätsnachweise, die außerhalb von Azure AD B2C-Flüssen auftreten.

1. Der Benutzer lädt ein Selfie in die eID-Me Smartphone-Anwendung hoch.
2. Der Benutzer scannt und lädt ein von der Regierung ausgestelltes Identifikationsdokument, z. B. Reisepass oder Führerschein, in die eID-Me-Smartphone-Anwendung hoch.
3. eID-Me sendet Daten zur Überprüfung an den Identitätsdienst.
4. Der Benutzer wird eine digitale Identität ausgestellt, die in der Anwendung gespeichert wird.

Das folgende Diagramm veranschaulicht die Azure AD B2C-Integration mit eID-Me.

1. Der Benutzer öffnet die Azure AD B2C-Anmeldeseite und meldet sich mit einem Benutzernamen an oder registriert sich.
2. Der Benutzer wurde an die Azure AD B2C-Anmelde- und Registrierungsrichtlinie weitergeleitet.
3. Azure AD B2C leitet den Benutzer mithilfe des OIDC-Autorisierungscodeflusses an den eID-Me-Identitätsrouter um.
4. Der Router sendet Pushbenachrichtigungen an die mobile Benutzer-App mit Authentifizierungs- und Autorisierungsanforderungsdetails.
5. Die Benutzerauthentifizierungsaufforderung wird angezeigt, dann wird eine Aufforderung für Identitätsansprüche angezeigt.
6. Die Antwort auf die Herausforderung geht an den Router.
7. Der Router antwortet auf Azure AD B2C mit einem Authentifizierungsergebnis.
8. Die Antwort des Azure AD B2C-ID-Tokens geht an die Anwendung.
9. Dem Benutzer wird der Zugriff gewährt oder verweigert.

Erste Schritte mit eID-Me

Besuchen Sie die Seite bluink.ca Kontaktieren Sie uns, um eine Demo anzufordern, mit dem Ziel, eine Test- oder Produktionsumgebung zu konfigurieren, um Azure AD B2C-Mandanten als vertrauenden Partner einzurichten. Mieter bestimmen die Identitätsanforderungen, die Verbraucher erfüllen müssen, um sich mit eID-Me zu registrieren.

Konfigurieren einer Anwendung in eID-Me

Um Ihre Mandantenanwendung als eID-ME-Vertrauende Partei in eID-Me zu konfigurieren, geben Sie die folgenden Informationen an:

Hinzufügen eines neuen Identitätsanbieters in Azure AD B2C

Verwenden Sie für die folgenden Anweisungen das Verzeichnis mit dem Azure AD B2C-Mandanten.

1. Melden Sie sich beim Azure-Portal mindestens als B2C-IEF-Richtlinienadmin des Azure AD B2C-Mandanten an.
2. Wählen Sie im oberen Menü " Verzeichnis + Abonnement" aus.
3. Wählen Sie das Verzeichnis mit dem Mandanten aus.
4. Wählen Sie in der oberen linken Ecke des Azure-Portals "Alle Dienste" aus.
5. Suchen Sie nach Azure AD B2C, und wählen Sie diese Option aus.
6. Navigieren Sie zu Dashboard>Azure Active Directory B2C>Identitätsanbieter.
7. Wählen Sie "Neuer OpenID Connect-Anbieter" aus.
8. Wählen Sie Hinzufügen aus.

Konfigurieren eines Identitätsanbieters

So konfigurieren Sie einen Identitätsanbieter:

1. Wählen Sie den Identitätsanbietertyp>OpenID Connect aus.
2. Geben Sie im Formular "Identitätsanbieter" für "Name" "eID-Me Passwordless " oder einen anderen Namen ein.
3. Geben Sie für die Client-ID die Client-ID von eID-Me ein.
4. Geben Sie für den geheimen Clientschlüssel den geheimen Clientschlüssel von eID-Me ein.
5. Wählen Sie für Scopeopenid email profile aus.
6. Wählen Sie Code als Antworttyp aus.
7. Wählen Sie für den Antwortmodusden Formularbeitrag aus.
8. Wählen Sie OK aus.
9. Wählen Sie Ansprüche dieses Identitätsanbieters zuordnen aus.
10. Verwenden Sie für Benutzer-ID die Option sub.
11. Verwenden Sie für Anzeigename die Option name.
12. Verwenden Sie für den angegebenen Namengiven_name.
13. Verwenden Sie für Nachnamefamily_name.
14. Verwenden Sie für E-Mail die Option email.
15. Wählen Sie Speichern aus.

Konfigurieren der mehrstufigen Authentifizierung

eID-Me ist ein mehrstufiger Authentifikator, daher ist keine mehrstufige Authentifizierungskonfiguration für den Benutzerfluss erforderlich.

Erstellen einer Benutzerflussrichtlinie

Für die folgenden Anweisungen wird eID-Me als neuer OIDC-Identitätsanbieter in B2C-Identitätsanbietern angezeigt.

1. Wählen Sie im Azure AD B2C-Mandanten unter "Richtlinien" die Option "Benutzerflüsse" aus.
2. Wählen Sie "Neuer Benutzerablauf" aus.
3. Wählen Sie Registrierung und Anmeldung>Version>Erstellen aus.
4. Geben Sie einen Namen für die Richtlinie ein.
5. Wählen Sie in Identitätsanbietern den erstellten eID-Me-Identitätsanbieter aus.
6. Wählen Sie für lokale Konten"Keine" aus. Die Auswahl deaktiviert die E-Mail- und Kennwortauthentifizierung.
7. Wählen Sie Benutzerflow ausführen aus.
8. Geben Sie eine Antwort-URL ein, wie https://jwt.ms z. B. .
9. Der Browser leitet zur Anmeldeseite "eID-Me" um.
10. Geben Sie den Kontonamen aus der Benutzerregistrierung ein.
11. Der Benutzer erhält pushbenachrichtigung auf dem mobilen Gerät mit eID-Me.
12. Es wird eine Authentifizierungsabfrage angezeigt.
13. Die Herausforderung wird angenommen, und der Browser leitet zur Antwort-URL um.

Erstellen eines Richtlinienschlüssels

Speichern Sie den geheimen Clientschlüssel, den Sie in Ihrem Azure AD B2C-Mandanten aufgezeichnet haben. Verwenden Sie für die folgenden Anweisungen das Verzeichnis mit dem Azure AD B2C-Mandanten.

1. Melden Sie sich beim Azure-Portal an.
2. Wählen Sie auf der Portalsymbolleiste die Verzeichnisse + Abonnements aus.
3. Suchen Sie auf der Seite "Portaleinstellungen, Verzeichnisse + Abonnements " in der Verzeichnisnamenliste Ihr Azure AD B2C-Verzeichnis.
4. Wählen Sie Wechseln aus.
5. Wählen Sie in der oberen linken Ecke des Azure-Portals "Alle Dienste" aus.
6. Suchen Sie nach Azure AD B2C, und wählen Sie diese Option aus.
7. Wählen Sie auf der Seite "Übersicht" die Option "Identity Experience Framework" aus.
8. Wählen Sie "Richtlinienschlüssel" aus.
9. Wählen Sie Hinzufügen aus.
10. Wählen Sie unter "Optionen" die Option "Manuell" aus.
11. Geben Sie einen Namen für den Richtlinienschlüssel ein. Beispiel: eIDMeClientSecret. Das Präfix B2C_1A_ wird dem Schlüsselnamen hinzugefügt.
12. Geben Sie unter Geheimnis den geheimen Clientschlüssel ein, den Sie sich notiert haben.
13. Wählen Sie für die Schlüsselverwendung"Signatur" aus.
14. Wählen Sie "Erstellen" aus.

Konfigurieren von eID-Me als Identitätsanbieter

Definieren Sie "eID-Me" als Anspruchsanbieter, damit sich Benutzer mit eID-Me anmelden können. Azure AD B2C kommuniziert mit diesem über einen Endpunkt. Der Endpunkt stellt Ansprüche bereit, die von Azure AD B2C verwendet werden, um die Benutzerauthentifizierung mit einer digitalen ID auf ihrem Gerät zu überprüfen.

Um eID-Me als Anspruchsanbieter zu definieren, fügen Sie es dem ClaimsProvider-Element in der Richtlinienerweiterungsdatei hinzu.

1. Öffnen Sie die Datei TrustFrameworkExtensions.xml.

2. Suchen Sie das ClaimsProviders-Element . Wenn sie nicht angezeigt wird, fügen Sie es unter dem Stammelement hinzu.

3. Füge einen neuen ClaimsProvider hinzu.

      <ClaimsProvider>
      <Domain>eID-Me</Domain>
      <DisplayName>eID-Me</DisplayName>
      <TechnicalProfiles>
        <TechnicalProfile Id="eID-Me-OIDC">
          <!-- The text in the following DisplayName element is shown to the user on the claims provider 
   selection screen. -->
          <DisplayName>eID-Me for Sign In</DisplayName>
          <Protocol Name="OpenIdConnect" />
          <Metadata>
            <Item Key="ProviderName">https://eid-me.bluink.ca</Item>
            <Item Key="METADATA">https://demoeid.bluink.ca/.well-known/openid-configuration</Item>
            <Item Key="response_types">code</Item>
            <Item Key="scope">openid email profile</Item>
            <Item Key="response_mode">form_post</Item>
            <Item Key="HttpBinding">POST</Item>
            <Item Key="token_endpoint_auth_method">client_secret_post</Item>
            <Item Key="client_id">eid_me_rp_client_id</Item>
            <Item Key="UsePolicyInRedirectUri">false</Item>
          </Metadata>
          <CryptographicKeys>
            <Key Id="client_secret" StorageReferenceId="B2C_1A_eIDMeClientSecret" />
          </CryptographicKeys>
          <InputClaims />
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
            <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" />
            <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
            <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
            <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
            <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
            <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
            <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
            <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
            <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
            <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
          </OutputClaims>
          <OutputClaimsTransformations>
            <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
            <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
            <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
            <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
          </OutputClaimsTransformations>
          <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
        </TechnicalProfile>
      </TechnicalProfiles>
    </ClaimsProvider>
   

4. Geben Sie eid_me_rp_client_id für die eID-Me-Relying-Party-Client-ID ein.

5. Wählen Sie Speichern aus.

Unterstützte Identitätsansprüche

Sie können weitere Identitätsansprüche hinzufügen, die eID-Me unterstützt.

1. Öffnen Sie die Datei TrustFrameworksExtension.xml.
2. Suchen Sie das Element BuildingBlocks.

<BuildingBlocks>
<ClaimsSchema>
 <ClaimType Id="IAL">
     <DisplayName>Identity Assurance Level</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="identity_assurance_level_achieved" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</AdminHelpText>
     <UserHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</UserHelpText>
     <UserInputType>Readonly</UserInputType>
   </ClaimType>

<ClaimType Id="picture">
     <DisplayName>Portrait Photo</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="thumbnail_portrait" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The portrait photo of the user.</AdminHelpText>
     <UserHelpText>Your portrait photo.</UserHelpText>
     <UserInputType>Readonly</UserInputType>
   </ClaimType>

 <ClaimType Id="middle_name">
     <DisplayName>Portrait Photo</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="middle_name" />
     </DefaultPartnerClaimTypes>
     <UserHelpText>Your middle name.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

<ClaimType Id="birthdate">
     <DisplayName>Date of Birth</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="birthdate" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's date of birth.</AdminHelpText>
     <UserHelpText>Your date of birth.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

 <ClaimType Id="gender">
     <DisplayName>Gender</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="gender" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's gender.</AdminHelpText>
     <UserHelpText>Your gender.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>
 
 <ClaimType Id="street_address">
     <DisplayName>Locality/City</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="street_address" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's full street address, which MAY include house number, street name, post office box.</AdminHelpText>
     <UserHelpText>Your street address of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

<ClaimType Id="locality">
     <DisplayName>Locality/City</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="locality" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current city or locality of residence.</AdminHelpText>
     <UserHelpText>Your current city or locality of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="region">
     <DisplayName>Province or Territory</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="region" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current province or territory of residence.</AdminHelpText>
     <UserHelpText>Your current province or territory of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="country">
     <DisplayName>Country</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="country" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current country of residence.</AdminHelpText>
     <UserHelpText>Your current country of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="dl_number">
     <DisplayName>Driver's Licence Number</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="dl_number" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's driver's licence number.</AdminHelpText>
     <UserHelpText>Your driver's licence number.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="dl_class">
     <DisplayName>Driver's Licence Class</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="dl_class" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's driver's licence class.</AdminHelpText>
     <UserHelpText>Your driver's licence class.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>
 </ClaimsSchema>

Hinzufügen einer Benutzerreise

Für die folgenden Anweisungen ist der Identitätsanbieter eingerichtet, jedoch nicht auf Anmeldeseiten. Wenn Sie keine benutzerdefinierte Benutzerreise haben, kopieren Sie eine Benutzerreise mit Vorlagen.

1. Öffnen Sie die TrustFrameworkBase.xml Datei aus dem Startpaket.
2. Suchen und kopieren Sie den Inhalt des UserJourneys-Elements , das ID=SignUpOrSignIn enthält.
3. Öffnen Sie die Datei TrustFrameworkExtensions.xml.
4. Suchen Sie das UserJourneys-Element . Wenn das Element nicht angezeigt wird, fügen Sie eins hinzu.
5. Fügen Sie den Inhalt des UserJourney-Elements als untergeordnetes Element des UserJourneys-Elements ein.
6. Benennen Sie die Benutzerreise-ID um, z. B. ID=CustomSignUpSignIn.

Fügen Sie den Identitätsanbieter zu einem Benutzerablauf hinzu

Fügen Sie den neuen Identitätsanbieter zum Benutzerfluss hinzu.

1. Suchen Sie in der User Journey nach dem Orchestrierungsschrittelement mit „Type=CombinedSignInAndSignUp“ oder „Type=ClaimsProviderSelection“. Es ist in der Regel der erste Orchestrierungsschritt. Das ClaimsProviderSelections-Element weist eine Liste von Identitätsanbieterbenutzern auf, die sich anmelden. Die Reihenfolge der Elemente steuert die Reihenfolge der Anmeldeschaltflächen, die der Benutzer sieht.
2. Fügen Sie ein ClaimsProviderSelection-XML-Element hinzu.
3. Legen Sie den TargetClaimsExchangeId-Wert auf einen freundlichen Namen fest.
4. Fügen Sie im nächsten Orchestrierungsschritt ein ClaimsExchange-Element hinzu.
5. Legen Sie ID auf den Wert der Zielanspruchsaustausch-ID fest.
6. Aktualisieren Sie den vTechnicalProfileReferenceId-Wert auf die von Ihnen erstellte technische Profil-ID.

Im folgenden XML werden sieben Schritte der Benutzerreise-Orchestrierung mit dem Identitätsanbieter veranschaulicht:

 <UserJourney Id="eIDME-SignUpOrSignIn">
   <OrchestrationSteps>
     <OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
       <ClaimsProviderSelections>
         <ClaimsProviderSelection TargetClaimsExchangeId="eIDMeExchange" />
        </ClaimsProviderSelections>
   </OrchestrationStep>
     <!-- Check if the user has selected to sign in using one of the social providers -->
     <OrchestrationStep Order="2" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="eIDMeExchange" TechnicalProfileReferenceId="eID-Me-OIDC" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- For social IDP authentication, attempt to find the user account in the directory. -->
     <OrchestrationStep Order="3" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
           <Value>authenticationSource</Value>
           <Value>localAccountAuthentication</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserReadUsingAlternativeSecurityId" TechnicalProfileReferenceId="AAD-UserReadUsingAlternativeSecurityId-NoError" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- Show self-asserted page only if the directory does not have the user account already (i.e. we do not have an objectId).  -->
     <OrchestrationStep Order="4" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="SelfAsserted-Social" TechnicalProfileReferenceId="SelfAsserted-Social" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- This step reads any user attributes that we may not have received when authenticating using ESTS so they can be sent in the token. -->
     <OrchestrationStep Order="5" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
           <Value>authenticationSource</Value>
           <Value>socialIdpAuthentication</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserReadWithObjectId" TechnicalProfileReferenceId="AAD-UserReadUsingObjectId" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- The previous step (SelfAsserted-Social) could have been skipped if there were no attributes to collect 
          from the user. So, in that case, create the user in the directory if one does not already exist 
          (verified using objectId which would be set from the last step if account was created in the directory. -->
     <OrchestrationStep Order="6" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserWrite" TechnicalProfileReferenceId="AAD-UserWriteUsingAlternativeSecurityId" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <OrchestrationStep Order="7" Type="SendClaims" CpimIssuerTechnicalProfileReferenceId="JwtIssuer" />
   </OrchestrationSteps>
   <ClientDefinition ReferenceId="DefaultWeb" />
 </UserJourney>

Konfigurieren einer Richtlinie für die vertrauende Seite

Die Richtlinie der vertrauenden Partei legt den Benutzerablauf fest, den Azure AD B2C ausführt. Sie können ansprüche steuern, die an Ihre Anwendung übergeben werden. Passen Sie das OutputClaims-Element des eID-Me-OIDC-Signup TechnicalProfile-Elements an. Im folgenden Beispiel erhält die Anwendung die Postleitzahl, Ortschaft, Region, IAL, Porträt, Zweitname und Geburtsdatum des Benutzers. Er empfängt den booleschen signupConditionsSatisfied-Anspruch , der angibt, ob ein Konto erstellt wurde.

 <RelyingParty>
     <DefaultUserJourney ReferenceId="eIDMe-SignUpOrSignIn" />
     <TechnicalProfile Id="PolicyProfile">
       <DisplayName>PolicyProfile</DisplayName>
       <Protocol Name="OpenIdConnect" />
       <OutputClaims>
         <OutputClaim ClaimTypeReferenceId="displayName" />
         <OutputClaim ClaimTypeReferenceId="givenName" />
         <OutputClaim ClaimTypeReferenceId="surname" />
         <OutputClaim ClaimTypeReferenceId="email" />
         <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
         <OutputClaim ClaimTypeReferenceId="identityProvider" />
         <OutputClaim ClaimTypeReferenceId="tenantId" AlwaysUseDefaultValue="true" DefaultValue="{Policy:TenantObjectId}" />
         <OutputClaim ClaimTypeReferenceId="postalCode" PartnerClaimType="postal_code" DefaultValue="unknown postal_code" />
         <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
         <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
         <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
         <OutputClaim ClaimTypeReferenceId="picture" PartnerClaimType="thumbnail_portrait" DefaultValue="unknown portrait" />
         <OutputClaim ClaimTypeReferenceId="middle_name" PartnerClaimType="middle_name" DefaultValue="unknown middle name" />
         <OutputClaim ClaimTypeReferenceId="birthdate" PartnerClaimType="birthdate" DefaultValue="unknown DOB" />
         <OutputClaim ClaimTypeReferenceId="newUser" PartnerClaimType="signupConditionsSatisfied" DefaultValue="false" />
       </OutputClaims>
       <SubjectNamingInfo ClaimType="sub" />
     </TechnicalProfile>
   </RelyingParty>

Hochladen der benutzerdefinierten Richtlinie

Verwenden Sie für die folgenden Anweisungen das Verzeichnis mit dem Azure AD B2C-Mandanten.

1. Melden Sie sich beim Azure-Portal an.
2. Wählen Sie auf der Portalsymbolleiste die Verzeichnisse + Abonnements aus.
3. Suchen Sie auf der Seite "Portaleinstellungen, Verzeichnisse + Abonnements " in der Verzeichnisnamenliste das Azure AD B2C-Verzeichnis.
4. Wählen Sie Wechseln aus.
5. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.
6. Wählen Sie unter "Richtlinien" die Option "Identity Experience Framework" aus.
7. Wählen Sie "Benutzerdefinierte Richtlinie hochladen" aus.
8. Laden Sie die beiden Richtliniendateien hoch, die Sie in der folgenden Reihenfolge geändert haben:

• Die Erweiterungsrichtlinie (z. B. TrustFrameworkBase.xml)
• Die Richtlinie für die vertrauende Seite (beispielsweise SignUp.xml)

Testen der benutzerdefinierten Richtlinie

1. Wählen Sie die Richtlinie für die vertrauende Seite (beispielsweise B2C_1A_signup) aus.
2. Wählen Sie für "Anwendung" eine webanwendung aus, die Sie registriert haben.
3. Die Antwort-URL lautet https://jwt.ms.
4. Wählen Sie Jetzt ausführen aus.
5. Die Registrierungsrichtlinie ruft eID-Me auf.
6. Wählen Sie für die Anmeldung eID-Me aus.
7. Der Browser wird zu https://jwt.msumgeleitet.
8. Der von Azure AD B2C zurückgegebene Tokeninhalt wird angezeigt.

Weitere Informationen: Lernprogramm: Registrieren einer Webanwendung in Azure AD B2C

Nächste Schritte

• Übersicht über benutzerdefinierte Azure AD B2C-Richtlinien
• Lernprogramm: Erstellen von Benutzerflüssen und benutzerdefinierten Richtlinien in Azure Active Directory B2C
• Eine benutzerdefinierte Richtlinienvorlage und ein Beispiel ASP.NET Core Web App für die Integration von eID-Me in Azure AD B2C
• Wechseln Sie zu bluink.ca für den Azure AD B2C ID-Integrationsleitfaden | eID-Me