Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.
Utilisez des contrôles d’affichage de mot de passe à usage unique (TOTP) basés sur le temps pour activer l’authentification multifacteur à l’aide de la méthode TOTP. Les utilisateurs finaux doivent utiliser une application d’authentificateur qui génère des codes TOTP, tels que l’application Microsoft Authenticator ou toute autre application d’authentificateur prenant en charge la vérification TOTP.
Pour activer TOTP dans votre stratégie personnalisée, utilisez les contrôles d’affichage suivants :
- totpQrCodeControl : affichez le code QR et un lien profond. Lorsque l’utilisateur analyse le code QR ou ouvre le lien profond, l’application d’authentificateur s’ouvre afin que l’utilisateur puisse terminer le processus d’inscription.
- AuthenticatorAppIconControl : affichez l’icône de l’application Microsoft Authenticator avec un lien pour télécharger l’application sur l’appareil mobile de l’utilisateur.
- AuthenticatorInfoControl - Affiche l’introduction TOTP.
La capture d’écran suivante illustre la page d’inscription TOTP montrant les trois contrôles d’affichage.
L’extrait de code XML suivant montre les trois contrôles d’affichage :
<DisplayControls>
<!-- Render the QR code by taking the URI (qrCodeContent) input claim and rendering it as a QR code-->
<DisplayControl Id="totpQrCodeControl" UserInterfaceControlType="QrCodeControl">
<InputClaims>
<InputClaim ClaimTypeReferenceId="qrCodeContent" />
</InputClaims>
<DisplayClaims>
<DisplayClaim ClaimTypeReferenceId="qrCodeContent" ControlClaimType="QrCodeContent" />
</DisplayClaims>
</DisplayControl>
<!-- Render the TOTP information by taking the totpIdentifier and the secretKey input claims and rendering them in plain text-->
<DisplayControl Id="authenticatorInfoControl" UserInterfaceControlType="AuthenticatorInfoControl">
<InputClaims>
<InputClaim ClaimTypeReferenceId="totpIdentifier" />
<InputClaim ClaimTypeReferenceId="secretKey" />
</InputClaims>
<DisplayClaims>
<DisplayClaim ClaimTypeReferenceId="totpIdentifier" />
<DisplayClaim ClaimTypeReferenceId="secretKey" />
</DisplayClaims>
</DisplayControl>
<!-- Render the authenticator apps icon. -->
<DisplayControl Id="authenticatorAppIconControl" UserInterfaceControlType="AuthenticatorAppIconControl" />
</DisplayControls>
Les contrôles d’affichage sont référencés à partir d’un profil technique autodéclaré. Le profil technique autodéclaré utilise la transformation des revendications d’entrée pour préparer les revendications requises qrCodeContent et secretKey d’entrée.
Les transformations de revendications d’entrée doivent être appelées dans l’ordre suivant :
- Type
CreateSecretde transformation de revendications de CreateOtpSecret. La transformation de revendications crée une clé secrète TOTP. Cette clé est stockée ultérieurement dans le profil de l’utilisateur dans Azure AD B2C et est partagée avec l’application d’authentificateur. L’application d’authentificateur utilise la clé pour générer un code TOTP que l’utilisateur doit passer par MFA. Votre stratégie personnalisée utilise la clé pour valider le code TOTP fourni par l’utilisateur. - Type
CreateIssuerde transformation de revendications de CreateStringClaim. La transformation de revendications crée le nom de l’émetteur TOTP. Le nom de l’émetteur est votre nom de locataire, tel que « Démonstration Contoso ». - Type
CreateUriLabelde transformation de revendications de FormatStringMultipleClaims. La transformation de revendications crée l’étiquette d’URI TOTP. L’étiquette est une combinaison de l’identificateur unique de l’utilisateur, comme l’adresse e-mail et le nom de l’émetteur, par exempleContoso demo:emily@fabrikam.com. - Type
CreateUriStringde transformation de revendications de BuildUri. La transformation de revendications crée la chaîne d’URI TOTP. La chaîne est une combinaison de l’étiquette d’URI et de la clé secrète, par exempleotpauth://totp/Contoso%20demo:emily@fabrikam.com?secret=fay2lj7ynpntjgqa&issuer=Contoso+demo. Cette étiquette d’URI est affichée par le contrôle d’affichage dans un format de code QR et un lien profond.
Le code XML suivant montre le EnableOTPAuthentication profil technique autodéclaré avec sa transformation de revendications d’entrée, ses revendications d’entrée et ses contrôles d’affichage.
<TechnicalProfile Id="EnableOTPAuthentication">
<DisplayName>Sign up with Authenticator app</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.SelfAssertedAttributeProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
<Metadata>
<Item Key="ContentDefinitionReferenceId">api.selfasserted.totp</Item>
<Item Key="language.button_continue">Continue</Item>
</Metadata>
<CryptographicKeys>
<Key Id="issuer_secret" StorageReferenceId="B2C_1A_TokenSigningKeyContainer" />
</CryptographicKeys>
<InputClaimsTransformations>
<InputClaimsTransformation ReferenceId="CreateSecret" />
<InputClaimsTransformation ReferenceId="CreateIssuer" />
<InputClaimsTransformation ReferenceId="CreateUriLabel" />
<InputClaimsTransformation ReferenceId="CreateUriString" />
</InputClaimsTransformations>
<InputClaims>
<InputClaim ClaimTypeReferenceId="qrCodeContent" />
<InputClaim ClaimTypeReferenceId="secretKey" />
</InputClaims>
<DisplayClaims>
<DisplayClaim DisplayControlReferenceId="authenticatorAppIconControl" />
<DisplayClaim ClaimTypeReferenceId="QrCodeScanInstruction" />
<DisplayClaim DisplayControlReferenceId="totpQrCodeControl" />
<DisplayClaim DisplayControlReferenceId="authenticatorInfoControl" />
</DisplayClaims>
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="objectId" />
<OutputClaim ClaimTypeReferenceId="secretKey" />
</OutputClaims>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-MFA-TOTP" />
</TechnicalProfile>
Flux de vérification
Le code TOTP de vérification est effectué par un autre profil technique autodéclaré qui utilise des revendications d’affichage et un profil technique de validation. Pour plus d’informations, consultez Définir un profil technique d’authentification multifacteur Microsoft Entra ID dans une stratégie personnalisée Azure AD B2C.
La capture d’écran suivante illustre une page de vérification TOTP.
Étapes suivantes
En savoir plus sur l’authentification multifacteur dans Activer l’authentification multifacteur dans Azure Active Directory B2C
Découvrez comment valider un code TOTP dans Définir un profil technique d’authentification multifacteur Microsoft Entra ID.
Explorez un exemple d’authentification multifacteur Azure AD B2C avec TOTP à l’aide d’une stratégie personnalisée d’application Authenticator dans GitHub.