Activer les options d’authentification dans une application iOS Swift à l’aide d’Azure AD B2C

Cet article décrit les façons dont vous pouvez activer, personnaliser et améliorer l’expérience d’authentification Azure Active Directory B2C (Azure AD B2C) pour votre application iOS Swift.

Avant de commencer, familiarisez-vous avec les articles suivants :

• Configurer l’authentification dans un exemple d’application iOS Swift à l’aide d’Azure AD B2C
• Activer l’authentification dans votre propre application iOS Swift à l’aide d’Azure AD B2C

Utiliser un domaine personnalisé

En utilisant un domaine personnalisé, vous pouvez entièrement personnaliser l’URL d’authentification. Du point de vue de l’utilisateur, les utilisateurs restent sur votre domaine pendant le processus d’authentification, plutôt que d’être redirigés vers le nom de domaine Azure AD B2C b2clogin.com.

Pour supprimer toutes les références à « b2c » dans l’URL, vous pouvez également remplacer votre nom de locataire B2C, contoso.onmicrosoft.com, dans l’URL de demande d’authentification par votre GUID d’ID de locataire. Par exemple, vous pouvez passer https://fabrikamb2c.b2clogin.com/contoso.onmicrosoft.com/ à https://account.contosobank.co.uk/<tenant ID GUID>/.

Pour utiliser un domaine personnalisé et votre ID de locataire dans l’URL d’authentification, procédez comme suit :

1. Suivez les instructions de l’option Activer des domaines personnalisés.
2. Mettez à jour le membre de classe kAuthorityHostName avec votre domaine personnalisé.
3. Mettez à jour le membre de kTenantName classe avec votre ID de locataire.

Le code Swift suivant montre les paramètres de l’application avant la modification :

let kTenantName = "contoso.onmicrosoft.com" 
let kAuthorityHostName = "contoso.b2clogin.com" 

Le code Swift suivant affiche les paramètres de l’application après la modification :

let kTenantName = "00000000-0000-0000-0000-000000000000" 
let kAuthorityHostName = "login.contoso.com" 

Préremplir le nom de connexion

Pendant un parcours utilisateur de connexion, votre application peut cibler un utilisateur spécifique. Lorsqu’une application cible un utilisateur, elle peut spécifier dans la demande d’autorisation le login_hint paramètre de requête avec le nom de connexion de l’utilisateur. Azure AD B2C remplit automatiquement le nom de connexion, et l’utilisateur doit fournir uniquement le mot de passe.

Pour préremplir le nom de connexion, procédez comme suit :

1. Si vous utilisez une stratégie personnalisée, ajoutez la requête d’entrée requise comme décrit dans Configurer la connexion directe.
2. Recherchez votre objet de configuration MSAL (Microsoft Authentication Library), puis ajoutez la withLoginHint() méthode avec l’indicateur de connexion.

let parameters = MSALInteractiveTokenParameters(scopes: kScopes, webviewParameters: self.webViewParameters!)
parameters.promptType = .selectAccount
parameters.authority = authority
parameters.loginHint = "bob@contoso.com"
// More settings here

applicationContext.acquireToken(with: parameters) { (result, error) in
...

Préélectionner un fournisseur d’identité

Si vous avez configuré le parcours de connexion de votre application pour inclure des comptes sociaux, tels que Facebook, LinkedIn ou Google, vous pouvez spécifier le domain_hint paramètre. Ce paramètre de requête fournit un indicateur à Azure AD B2C sur le fournisseur d’identité sociale qui doit être utilisé pour la connexion. Par exemple, si l’application spécifie domain_hint=facebook.com, le flux de connexion passe directement à la page de connexion Facebook.

Pour rediriger les utilisateurs vers un fournisseur d’identité externe, procédez comme suit :

1. Vérifiez le nom de domaine de votre fournisseur d’identité externe. Pour plus d’informations, consultez Redirection de la connexion à un fournisseur de réseaux sociaux.
2. Créez ou utilisez un objet de liste existant pour stocker des paramètres de requête supplémentaires.
3. Ajoutez le domain_hint paramètre avec le nom de domaine correspondant à la liste (par exemple, facebook.com).
4. Passez la liste des paramètres de requête supplémentaires dans l’attribut extraQueryParameters de l’objet de configuration MSAL.

let extraQueryParameters: [String: String] = ["domain_hint": "facebook.com"]

let parameters = MSALInteractiveTokenParameters(scopes: kScopes, webviewParameters: self.webViewParameters!)
parameters.promptType = .selectAccount
parameters.authority = authority
parameters.extraQueryParameters = extraQueryParameters
// More settings here

applicationContext.acquireToken(with: parameters) { (result, error) in
...

Spécifier la langue de l’interface utilisateur

La personnalisation de la langue dans Azure AD B2C permet à votre flux utilisateur de prendre en charge diverses langues en fonction des besoins de vos clients. Pour plus d’informations, consultez Personnalisation de la langue.

Pour définir la langue par défaut, procédez comme suit :

1. Configurez la personnalisation de la langue.
2. Créez ou utilisez un objet de liste existant pour stocker des paramètres de requête supplémentaires.
3. Ajoutez le paramètre avec le ui_locales code de langue correspondant à la liste (par exemple, en-us).
4. Passez la liste des paramètres de requête supplémentaires dans l’attribut extraQueryParameters de l’objet de configuration MSAL.

let extraQueryParameters: [String: String] = ["ui_locales": "en-us"]

let parameters = MSALInteractiveTokenParameters(scopes: kScopes, webviewParameters: self.webViewParameters!)
parameters.promptType = .selectAccount
parameters.authority = authority
parameters.extraQueryParameters = extraQueryParameters
// More settings here

applicationContext.acquireToken(with: parameters) { (result, error) in
...

Passer un paramètre de chaîne de requête personnalisé

Avec des stratégies personnalisées, vous pouvez passer un paramètre de chaîne de requête personnalisé. Un bon exemple de cas d’usage consiste à modifier dynamiquement le contenu de la page.

Pour passer un paramètre de chaîne de requête personnalisé, procédez comme suit :

1. Configurez l’élément ContentDefinitionParameters .
2. Créez ou utilisez un objet de liste existant pour stocker des paramètres de requête supplémentaires.
3. Ajoutez le paramètre de chaîne de requête personnalisé, tel que campaignId. Définissez la valeur du paramètre (par exemple, germany-promotion).
4. Passez la liste des paramètres de requête supplémentaires dans l’attribut extraQueryParameters de l’objet de configuration MSAL.

let extraQueryParameters: [String: String] = ["campaignId": "germany-promotion"]

let parameters = MSALInteractiveTokenParameters(scopes: kScopes, webviewParameters: self.webViewParameters!)
parameters.promptType = .selectAccount
parameters.authority = authority
parameters.extraQueryParameters = extraQueryParameters
// More settings here

applicationContext.acquireToken(with: parameters) { (result, error) in
...

Transmission d’indicateur de jeton d’ID

Une application de partie de confiance peut envoyer un jeton web JSON entrant (JWT) dans le cadre de la demande d’autorisation OAuth2. Le jeton entrant est un indicateur de l’utilisateur ou de la demande d’autorisation. Azure AD B2C valide le jeton, puis extrait la revendication.

Pour inclure un indicateur de jeton d’ID dans la demande d’authentification, procédez comme suit :

1. Dans votre stratégie personnalisée, définissez un indicateur de jeton d’ID de profil technique.
2. Dans votre code, générez ou achetez un jeton d’ID, puis définissez le jeton sur une variable (par exemple). idToken
3. Créez ou utilisez un objet de liste existant pour stocker des paramètres de requête supplémentaires.
4. Ajoutez le id_token_hint paramètre avec la variable correspondante qui stocke le jeton d’ID.
5. Passez la liste des paramètres de requête supplémentaires dans l’attribut extraQueryParameters de l’objet de configuration MSAL.

let extraQueryParameters: [String: String] = ["id_token_hint": idToken]

let parameters = MSALInteractiveTokenParameters(scopes: kScopes, webviewParameters: self.webViewParameters!)
parameters.promptType = .selectAccount
parameters.authority = authority
parameters.extraQueryParameters = extraQueryParameters
// More settings here

applicationContext.acquireToken(with: parameters) { (result, error) in
...

Configuration de la journalisation

La bibliothèque MSAL génère des messages de journal qui peuvent aider à diagnostiquer les problèmes. L’application peut configurer la journalisation. L’application peut également vous donner un contrôle personnalisé sur le niveau de détail et déterminer si les données personnelles et organisationnelles sont enregistrées.

Nous vous conseillons de créer un rappel de journalisation MSAL et de donner aux utilisateurs le moyen d’envoyer des journaux lorsqu’ils rencontrent des problèmes d’authentification. MSAL fournit les niveaux de détail de journalisation suivants :

• Erreur : Une erreur s’est produite et une erreur a été générée. Ce niveau est utilisé pour le débogage et l’identification des problèmes.
• Avertissement : Il n’y a pas nécessairement eu d’erreur ou d’échec, mais les informations sont destinées aux diagnostics et à l’identification des problèmes.
• Informations : MSAL enregistre des événements à but informatif et non nécessairement pour le débogage.
• Commentaires : il s’agit du niveau par défaut. MSAL enregistre les détails complets du comportement de la bibliothèque.

Par défaut, l’enregistreur d’événements MSAL ne capture aucune donnée personnelle ou organisationnelle. La bibliothèque vous donne la possibilité d’activer la journalisation des données personnelles et organisationnelles si vous décidez de le faire.

L’enregistreur d’événements MSAL doit être défini le plus tôt possible dans la séquence de lancement de l’application, avant toute demande MSAL. Configurez la journalisation MSAL dans la méthode application.

L’extrait de code suivant montre comment configurer la journalisation MSAL :

func application(_ application: UIApplication, didFinishLaunchingWithOptions launchOptions: [UIApplication.LaunchOptionsKey: Any]?) -> Bool {
        
        MSALGlobalConfig.loggerConfig.logLevel = .verbose
        MSALGlobalConfig.loggerConfig.setLogCallback { (logLevel, message, containsPII) in
            
            // If PiiLoggingEnabled is set YES, this block will potentially contain sensitive information (Personally Identifiable Information), but not all messages will contain it.
            // containsPII == YES indicates if a particular message contains PII.
            // You might want to capture PII only in debug builds, or only if you take necessary actions to handle PII properly according to legal requirements of the region
            if let displayableMessage = message {
                if (!containsPII) {
                    #if DEBUG
                    // NB! This sample uses print just for testing purposes
                    // You should only ever log to NSLog in debug mode to prevent leaking potentially sensitive information
                    print(displayableMessage)
                    #endif
                }
            }
        }
        return true
    }

Expérience d’affichage web incorporée

Les navigateurs web sont requis pour l’authentification interactive. Par défaut, la bibliothèque MSAL utilise la vue web système. Lors de la connexion, la bibliothèque MSAL affiche l’affichage web du système iOS avec l’interface utilisateur Azure AD B2C.

Pour plus d’informations, consultez l’article Personnaliser les navigateurs et webViews pour iOS/macOS .

Selon vos besoins, vous pouvez utiliser la vue web incorporée. Il existe des différences visuelles et de comportement d’authentification unique entre la vue web incorporée et l’affichage web système dans MSAL.

Pour modifier ce comportement, remplacez l’attribut webviewType par MSALWebviewParameterswkWebView. L’exemple suivant montre comment modifier le type d’affichage web en affichage incorporé :

func initWebViewParams() {
    self.webViewParameters = MSALWebviewParameters(authPresentationViewController: self)
    
    // Use embedded view experience
    self.webViewParameters?.webviewType = .wkWebView
}

Étapes suivantes

• Pour en savoir plus, consultez les options de configuration MSAL pour iOS Swift.