Compartir a través de

Configuración de Azure Active Directory B2C con Bluink eID-Me para la comprobación de identidad

Importante

A partir del 1 de mayo de 2025, Azure AD B2C ya no estará disponible para ser adquirido por nuevos clientes. Obtenga más información en nuestras preguntas más frecuentes.

Antes de empezar

Azure Active Directory B2C (Azure AD B2C) tiene dos métodos para definir la interacción de los usuarios con las aplicaciones: flujos de usuario predefinidos o directivas personalizadas configurables. Las directivas personalizadas abordan escenarios complejos. En la mayoría de los escenarios, se recomiendan los flujos de usuario. Consulte Información general sobre los flujos de usuario y las directivas personalizadas

Integración de la autenticación de Azure AD B2C con eID-Me

Aprenda a integrar la autenticación de Azure AD B2C con Bluink eID-Me, una solución de verificación de identidades y identidad digital descentralizada para ciudadanos canadienses. Con eID-Me, las instancias de Azure AD B2C verifican la identidad del usuario y obtienen declaraciones de identidad verificadas para el registro e inicio de sesión. La integración admite la autenticación multifactor y el inicio de sesión sin contraseña con una identidad digital segura. Las organizaciones pueden cumplir los requisitos de Nivel de seguridad de identidad (IAL) 2 y Conocer a su cliente (KYC).

Para obtener más información, vaya a bluink.ca: Bluink Ltd

Prerrequisitos

Para empezar, necesita lo siguiente:

Consulte también Tutorial: Creación de flujos de usuario y directivas personalizadas en Azure AD B2C.

Descripción del escenario

eID-Me se integra con Azure AD B2C como proveedor de identidades de OpenID Connect (OIDC). Los siguientes componentes componen la solución eID-Me con Azure AD B2C:

  • Inquilino de Azure AD B2C : configurado como usuario de confianza en eID-Me permite que eID-Me confíe en un inquilino de Azure AD B2C para el registro y el inicio de sesión.
  • Aplicación de inquilino de Azure AD B2C : la suposición es que los inquilinos necesitan una aplicación de inquilino de Azure AD B2C.
    • La aplicación recibirá las notificaciones de identidad recibidas por Azure AD B2C durante las transacciones
  • Aplicaciones de smartphone eID-Me : los usuarios de inquilinos de Azure AD B2C necesitan la aplicación para iOS o Android
  • Identidades digitales de eID-Me emitidas: a partir de la revisión de identidades de eID-Me
    • A los usuarios se les asigna una identidad digital en la cartera digital de la aplicación. Se requieren documentos de identidad válidos.

Las aplicaciones eID-Me autentican a los usuarios durante las transacciones. La autenticación de clave pública X509 proporciona MFA sin contraseña, mediante una clave de firma privada en la identidad digital eID-Me.

En el diagrama siguiente se muestra la corrección de identidades de eID-Me, que se produce fuera de los flujos de Azure AD B2C.

Diagrama del flujo de corrección de identidades en eID-Me.

  1. El usuario carga un selfie en la aplicación de teléfono inteligente eID-Me.
  2. El usuario escanea y carga un documento de identificación emitido por el gobierno, como pasaporte o licencia de conducir, en la aplicación de teléfono inteligente eID-Me.
  3. eID-Me envía datos al servicio de identidad para su comprobación.
  4. Al usuario se le emite una identidad digital, que se guarda en la aplicación.

En el diagrama siguiente se muestra la integración de Azure AD B2C con eID-Me.

Diagrama de la integración de Azure AD B2C con eID-Me.

  1. El usuario abre la página de inicio de sesión de Azure AD B2C e inicia sesión o se registra con un nombre de usuario.
  2. Usuario redirigido a la política de inicio de sesión y registro de Azure AD B2C.
  3. Azure AD B2C redirige al usuario al enrutador de identidad eID-Me mediante el flujo de código de autorización de OIDC.
  4. El enrutador envía una notificación push a la aplicación móvil de usuario con detalles de solicitud de autenticación y autorización.
  5. Aparece el desafío de autenticación de usuario y luego aparece una solicitud de reclamaciones de identidad.
  6. La respuesta del desafío va al enrutador.
  7. El enrutador responde a Azure AD B2C con un resultado de autenticación.
  8. La respuesta del token de identificación de Azure AD B2C va a la aplicación.
  9. Al usuario se le concede o se le deniega el acceso.

Introducción a eID-Me

Vaya a la página Contacto de bluink.ca para solicitar una demostración con el fin de configurar un entorno de prueba o de producción para establecer los clientes de Azure AD B2C como parte confiable. Los inquilinos determinan las notificaciones de identidad necesarias para los consumidores que se registren con eID-Me.

Configuración de una aplicación en eID-Me

Para configurar la aplicación de inquilino como usuario de confianza de eID-ME en eID-Me, proporcione la siguiente información:

Propiedad Descripción
Nombre Azure AD B2C u otro nombre de aplicación
Dominio name.onmicrosoft.com
URI de redirección https://jwt.ms
URL de redireccionamiento https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp
Por ejemplo: https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp
Para un dominio personalizado, escriba https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp.
Dirección URL de la página principal de la aplicación Aparece al usuario final
Dirección URL de la directiva de privacidad de la aplicación Aparece al usuario final

Nota:

Cuando se configura el usuario de confianza, ID-Me proporciona un identificador de cliente y un secreto de cliente. Anote el identificador de cliente y el secreto de cliente para configurar el proveedor de identidades (IdP) en Azure AD B2C.

Incorporación de un nuevo proveedor de identidades en Azure AD B2C

Para las siguientes instrucciones, use el directorio con la instancia de Azure AD B2C.

  1. Inicie sesión en Azure Portal como al menos el administrador de directivas de IEF de B2C del inquilino de Azure AD B2C.
  2. En el menú superior, seleccione Directorio y suscripción.
  3. Seleccione el directorio con el inquilino.
  4. En la esquina superior izquierda de Azure Portal, seleccione Todos los servicios.
  5. Busque y seleccione Azure AD B2C.
  6. Vaya al Panel>Azure Active Directory B2C>Proveedores de identidades.
  7. Seleccione Nuevo proveedor de OpenID Connect.
  8. Selecciona Agregar.

Configuración de un proveedor de identidades

Para configurar un proveedor de identidades:

  1. Seleccione Tipo de proveedor de identidades>OpenID Connect.
  2. En el formulario del proveedor de identidades, en Nombre, escriba eID-Me Passwordless u otro nombre.
  3. En Id. de cliente, escriba el identificador de cliente de eID-Me.
  4. En Secreto de cliente, escriba el secreto de cliente de eID-Me.
  5. En Ámbito, seleccione el perfil de correo electrónico de openid.
  6. En Tipo de respuesta, seleccione código.
  7. En Modo de respuesta, seleccione publicación de formulario.
  8. Selecciona Aceptar.
  9. Seleccione Asignar las notificaciones de este proveedor de identidades.
  10. En Id. de usuario, use sub.
  11. En Nombre para mostrar, use el nombre.
  12. En Nombre propio, use given_name.
  13. Para Apellidos, usa nombre_de_familia.
  14. En Correo electrónico, use el correo electrónico.
  15. Haga clic en Guardar.

Configuración de la autenticación multifactor

eID-Me es un autenticador multifactor, por lo que no se necesita la configuración de autenticación multifactor de flujo de usuario.

Creación de una directiva de flujo de usuario

Para las instrucciones siguientes, eID-Me aparece como un nuevo proveedor de identidades OIDC en proveedores de identidades B2C.

  1. En el inquilino de Azure AD B2C, en Directivas, seleccione Flujos de usuario.
  2. Seleccione Nuevo flujo de usuario.
  3. Seleccione Registrarse e iniciar sesión>Versión>Crear.
  4. Escriba un nombre de directiva.
  5. En Proveedores de identidades, seleccione el proveedor de identidades eID-Me creado.
  6. En Cuentas locales, seleccione Ninguno. La selección deshabilita la autenticación de correo electrónico y contraseña.
  7. Seleccione Ejecutar flujo de usuario.
  8. Escriba una dirección URL de respuesta, como https://jwt.ms.
  9. El explorador redirige a la página de inicio de sesión de eID-Me.
  10. Escriba el nombre de cuenta del registro de usuario.
  11. El usuario recibe una notificación push en el dispositivo móvil con eID-Me.
  12. Aparece un desafío de autenticación.
  13. El desafío se acepta y el explorador redirige a la dirección URL de respuesta.

Nota:

Azure Active Directory B2C (Azure AD B2C) tiene dos métodos para definir la interacción de los usuarios con las aplicaciones: flujos de usuario predefinidos o directivas personalizadas configurables. Las directivas personalizadas abordan escenarios complejos. En la mayoría de los escenarios, se recomiendan los flujos de usuario. Consulte Información general sobre los flujos de usuario y las directivas personalizadas

Creación de una clave de directiva

Almacene el secreto de cliente que registró en el inquilino de Azure AD B2C. Para las siguientes instrucciones, use el directorio con la instancia de Azure AD B2C.

  1. Inicie sesión en Azure Portal.
  2. En la barra de herramientas del portal, seleccione directorios y suscripciones.
  3. En la página Configuración del portal, Directorios y suscripciones , en la lista Nombre de directorio, busque el directorio de Azure AD B2C.
  4. Seleccione Cambiar.
  5. En la esquina superior izquierda de Azure Portal, seleccione Todos los servicios.
  6. Busque y seleccione Azure AD B2C.
  7. En la página Información general, seleccione Identity Experience Framework.
  8. Seleccione Claves de política.
  9. Selecciona Agregar.
  10. En Opciones, elija Manual.
  11. Escriba un nombre para la clave de directiva. Por ejemplo: eIDMeClientSecret. El prefijo B2C_1A_ se agrega al nombre de clave.
  12. En Secreto, escriba el secreto de cliente que anotó.
  13. En Uso de claves, seleccione Firma.
  14. Selecciona Crear.

Configuración de eID-Me como proveedor de identidades

Defina eID-Me como proveedor de notificaciones para permitir que los usuarios inicien sesión con eID-Me. Azure AD B2C se comunica con él a través de un punto de conexión. El punto de conexión proporciona declaraciones usadas por Azure AD B2C para comprobar la autenticación del usuario con un identificador digital en su dispositivo.

Para definir eID-Me como proveedor de notificaciones, agréguelo al elemento ClaimsProvider en el archivo de extensión de directiva.

  1. Abra TrustFrameworkExtensions.xml.

  2. Busque el elemento ClaimsProviders. Si no aparece, agréguelo bajo el elemento raíz.

  3. Agregue un nuevo ClaimsProvider:

       <ClaimsProvider>
   <Domain>eID-Me</Domain>
   <DisplayName>eID-Me</DisplayName>
   <TechnicalProfiles>
     <TechnicalProfile Id="eID-Me-OIDC">
       <!-- The text in the following DisplayName element is shown to the user on the claims provider 
selection screen. -->
       <DisplayName>eID-Me for Sign In</DisplayName>
       <Protocol Name="OpenIdConnect" />
       <Metadata>
         <Item Key="ProviderName">https://eid-me.bluink.ca</Item>
         <Item Key="METADATA">https://demoeid.bluink.ca/.well-known/openid-configuration</Item>
         <Item Key="response_types">code</Item>
         <Item Key="scope">openid email profile</Item>
         <Item Key="response_mode">form_post</Item>
         <Item Key="HttpBinding">POST</Item>
         <Item Key="token_endpoint_auth_method">client_secret_post</Item>
         <Item Key="client_id">eid_me_rp_client_id</Item>
         <Item Key="UsePolicyInRedirectUri">false</Item>
       </Metadata>
       <CryptographicKeys>
         <Key Id="client_secret" StorageReferenceId="B2C_1A_eIDMeClientSecret" />
       </CryptographicKeys>
       <InputClaims />
       <OutputClaims>
         <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
         <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" />
         <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
         <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
         <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
         <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
         <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
         <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
         <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
         <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
         <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
       </OutputClaims>
       <OutputClaimsTransformations>
         <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
         <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
         <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
         <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
       </OutputClaimsTransformations>
       <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
     </TechnicalProfile>
   </TechnicalProfiles>
 </ClaimsProvider>

  4. Para eid_me_rp_client_id escriba el identificador de cliente de confianza de eID-Me.

  5. Haga clic en Guardar.

Notificaciones de identidad admitidas

Puede agregar más declaraciones de identidad que admite eID-Me.

  1. Abra TrustFrameworksExtension.xml.
  2. Busque el BuildingBlocks elemento .

Nota:

Busque listas de notificaciones de identidad de eID-Me admitidas en el repositorio de OID con identificadores OIDC en well-known/openid-configuration.

<BuildingBlocks>
<ClaimsSchema>
 <ClaimType Id="IAL">
     <DisplayName>Identity Assurance Level</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="identity_assurance_level_achieved" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</AdminHelpText>
     <UserHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</UserHelpText>
     <UserInputType>Readonly</UserInputType>
   </ClaimType>

<ClaimType Id="picture">
     <DisplayName>Portrait Photo</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="thumbnail_portrait" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The portrait photo of the user.</AdminHelpText>
     <UserHelpText>Your portrait photo.</UserHelpText>
     <UserInputType>Readonly</UserInputType>
   </ClaimType>

 <ClaimType Id="middle_name">
     <DisplayName>Portrait Photo</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="middle_name" />
     </DefaultPartnerClaimTypes>
     <UserHelpText>Your middle name.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

<ClaimType Id="birthdate">
     <DisplayName>Date of Birth</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="birthdate" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's date of birth.</AdminHelpText>
     <UserHelpText>Your date of birth.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

 <ClaimType Id="gender">
     <DisplayName>Gender</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="gender" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's gender.</AdminHelpText>
     <UserHelpText>Your gender.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>
 
 <ClaimType Id="street_address">
     <DisplayName>Locality/City</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="street_address" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's full street address, which MAY include house number, street name, post office box.</AdminHelpText>
     <UserHelpText>Your street address of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

<ClaimType Id="locality">
     <DisplayName>Locality/City</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="locality" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current city or locality of residence.</AdminHelpText>
     <UserHelpText>Your current city or locality of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="region">
     <DisplayName>Province or Territory</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="region" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current province or territory of residence.</AdminHelpText>
     <UserHelpText>Your current province or territory of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="country">
     <DisplayName>Country</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="country" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current country of residence.</AdminHelpText>
     <UserHelpText>Your current country of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="dl_number">
     <DisplayName>Driver's Licence Number</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="dl_number" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's driver's licence number.</AdminHelpText>
     <UserHelpText>Your driver's licence number.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="dl_class">
     <DisplayName>Driver's Licence Class</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="dl_class" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's driver's licence class.</AdminHelpText>
     <UserHelpText>Your driver's licence class.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>
 </ClaimsSchema>

Adición de un recorrido del usuario

Para obtener las instrucciones siguientes, el proveedor de identidades está configurado, pero no en ninguna página de inicio de sesión. Si no tiene un recorrido de usuario personalizado, copie un recorrido de usuario de plantilla.

  1. En el paquete de inicio, abra el TrustFrameworkBase.xml archivo.
  2. Busque y copie el contenido del elemento UserJourneys que incluye ID=SignUpOrSignIn.
  3. Abra TrustFrameworkExtensions.xml.
  4. Busque el elemento UserJourneys . Si el elemento no aparece, agregue uno.
  5. Pegue el contenido del elemento UserJourney como elemento secundario del elemento UserJourneys .
  6. Cambie el nombre del identificador de recorrido del usuario, por ejemplo, ID=CustomSignUpSignIn.

Adición del proveedor de identidades a un recorrido del usuario

Agregue el nuevo proveedor de identidades al recorrido del usuario.

  1. En el recorrido del usuario, localice el elemento del paso de orquestación cuyo tipo es CombinedSignInAndSignUp o ClaimsProviderSelection. Normalmente es el primer paso de orquestación. El elemento ClaimsProviderSelections tiene una lista de los proveedores de identidades con los que los usuarios inician sesión. El orden de los elementos controla el orden de los botones de inicio de sesión que ve el usuario.
  2. Agregue un elemento XML ClaimsProviderSelection.
  3. Establezca el valor TargetClaimsExchangeId en un nombre fácil de recordar.
  4. En el paso de orquestación siguiente, agregue un elemento ClaimsExchange.
  5. Establezca el id. en el valor del id. de intercambio de notificaciones de destino.
  6. Actualice el valor TechnicalProfileReferenceId en el identificador de perfil técnico que haya creado.

En el siguiente XML se muestran siete pasos de orquestación del recorrido del usuario con el proveedor de identidades:

 <UserJourney Id="eIDME-SignUpOrSignIn">
   <OrchestrationSteps>
     <OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
       <ClaimsProviderSelections>
         <ClaimsProviderSelection TargetClaimsExchangeId="eIDMeExchange" />
        </ClaimsProviderSelections>
   </OrchestrationStep>
     <!-- Check if the user has selected to sign in using one of the social providers -->
     <OrchestrationStep Order="2" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="eIDMeExchange" TechnicalProfileReferenceId="eID-Me-OIDC" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- For social IDP authentication, attempt to find the user account in the directory. -->
     <OrchestrationStep Order="3" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
           <Value>authenticationSource</Value>
           <Value>localAccountAuthentication</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserReadUsingAlternativeSecurityId" TechnicalProfileReferenceId="AAD-UserReadUsingAlternativeSecurityId-NoError" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- Show self-asserted page only if the directory does not have the user account already (i.e. we do not have an objectId).  -->
     <OrchestrationStep Order="4" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="SelfAsserted-Social" TechnicalProfileReferenceId="SelfAsserted-Social" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- This step reads any user attributes that we may not have received when authenticating using ESTS so they can be sent in the token. -->
     <OrchestrationStep Order="5" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
           <Value>authenticationSource</Value>
           <Value>socialIdpAuthentication</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserReadWithObjectId" TechnicalProfileReferenceId="AAD-UserReadUsingObjectId" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- The previous step (SelfAsserted-Social) could have been skipped if there were no attributes to collect 
          from the user. So, in that case, create the user in the directory if one does not already exist 
          (verified using objectId which would be set from the last step if account was created in the directory. -->
     <OrchestrationStep Order="6" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserWrite" TechnicalProfileReferenceId="AAD-UserWriteUsingAlternativeSecurityId" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <OrchestrationStep Order="7" Type="SendClaims" CpimIssuerTechnicalProfileReferenceId="JwtIssuer" />
   </OrchestrationSteps>
   <ClientDefinition ReferenceId="DefaultWeb" />
 </UserJourney>

Configuración de la directiva de usuario de confianza

La directiva de usuario de confianza especifica el recorrido del usuario que ejecute Azure AD B2C. Puede controlar las notificaciones que se pasan a la aplicación. Ajuste el elemento OutputClaims del elemento TechnicalProfile de eID-Me-OIDC-Signup. En el ejemplo siguiente, la aplicación recibe código postal de usuario, localidad, región, IAL, retrato, nombre intermedio y fecha de nacimiento. Recibe el indicador booleano signupConditionsSatisfied, que indica si se creó una cuenta.

 <RelyingParty>
     <DefaultUserJourney ReferenceId="eIDMe-SignUpOrSignIn" />
     <TechnicalProfile Id="PolicyProfile">
       <DisplayName>PolicyProfile</DisplayName>
       <Protocol Name="OpenIdConnect" />
       <OutputClaims>
         <OutputClaim ClaimTypeReferenceId="displayName" />
         <OutputClaim ClaimTypeReferenceId="givenName" />
         <OutputClaim ClaimTypeReferenceId="surname" />
         <OutputClaim ClaimTypeReferenceId="email" />
         <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
         <OutputClaim ClaimTypeReferenceId="identityProvider" />
         <OutputClaim ClaimTypeReferenceId="tenantId" AlwaysUseDefaultValue="true" DefaultValue="{Policy:TenantObjectId}" />
         <OutputClaim ClaimTypeReferenceId="postalCode" PartnerClaimType="postal_code" DefaultValue="unknown postal_code" />
         <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
         <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
         <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
         <OutputClaim ClaimTypeReferenceId="picture" PartnerClaimType="thumbnail_portrait" DefaultValue="unknown portrait" />
         <OutputClaim ClaimTypeReferenceId="middle_name" PartnerClaimType="middle_name" DefaultValue="unknown middle name" />
         <OutputClaim ClaimTypeReferenceId="birthdate" PartnerClaimType="birthdate" DefaultValue="unknown DOB" />
         <OutputClaim ClaimTypeReferenceId="newUser" PartnerClaimType="signupConditionsSatisfied" DefaultValue="false" />
       </OutputClaims>
       <SubjectNamingInfo ClaimType="sub" />
     </TechnicalProfile>
   </RelyingParty>

Carga de la directiva personalizada

Para las siguientes instrucciones, use el directorio con la instancia de Azure AD B2C.

  1. Inicie sesión en Azure Portal.
  2. En la barra de herramientas del portal, seleccione directorios y suscripciones.
  3. En la página Configuración del portal, Directorios y suscripciones , en la lista Nombre de directorio, busque el directorio de Azure AD B2C.
  4. Seleccione Cambiar.
  5. En Azure Portal, busque y seleccione Azure AD B2C.
  6. En Directivas, seleccione Identity Experience Framework.
  7. Seleccione Cargar directiva personalizada.
  8. Cargue los dos archivos de directiva que ha cambiado en el orden siguiente:
  • La directiva de extensión, por ejemplo TrustFrameworkBase.xml
  • La directiva de usuario de confianza. Por ejemplo SignUp.xml

Prueba la política personalizada

  1. Seleccione la directiva de usuario de confianza. Por ejemplo: B2C_1A_signup.
  2. En Aplicación, seleccione una aplicación web que registró.
  3. La dirección URL de respuesta es https://jwt.ms.
  4. Seleccione Ejecutar ahora.
  5. La directiva de registro invoca eID-Me.
  6. Para iniciar sesión, seleccione eID-Me.
  7. El explorador redirige a https://jwt.ms.
  8. Aparecerá el contenido del token devuelto por Azure AD B2C.

Más información : Tutorial: Registro de una aplicación web en Azure AD B2C

Pasos siguientes

  • Last updated on