Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.
Lorsque vous configurez un fournisseur d’identité pour l’inscription et la connexion à vos applications Azure Active Directory B2C (Azure AD B2C), vous devez spécifier les points de terminaison du fournisseur d’identité Azure AD B2C. Vous ne devez plus référencer login.microsoftonline.com dans vos applications et API pour authentifier les utilisateurs avec Azure AD B2C. Utilisez plutôt b2clogin.com ou un domaine personnalisé pour toutes les applications.
À quels points de terminaison ces modifications s'appliquent-elles
La transition vers b2clogin.com s’applique uniquement aux points de terminaison d’authentification qui utilisent des stratégies Azure AD B2C (flux utilisateur ou stratégies personnalisées) pour authentifier les utilisateurs. Ces points de terminaison ont un <policy-name> paramètre, qui spécifie la stratégie Qu’Azure AD B2C doit utiliser.
En savoir plus sur les stratégies Azure AD B2C.
Les anciens points de terminaison peuvent ressembler à ceci :
-
https://login.microsoft.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorizeouhttps://login.microsoft.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name>pour le/authorizepoint de terminaison. -
https://login.microsoft.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/logoutouhttps://login.microsoft.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/logout?p=<policy-name>pour le/logoutpoint de terminaison.
Un point de terminaison mis à jour correspondant ressemble aux points de terminaison suivants :
-
https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorizeouhttps://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name>pour le point de terminaison/authorize. -
https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/logoutouhttps://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/logout?p=<policy-name>pour le point de terminaison/logout.
Avec le domaine personnalisé Azure AD B2C, le point de terminaison mis à jour correspondant ressemble aux points de terminaison suivants. Vous pouvez utiliser l’un des points de terminaison suivants :
-
https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorizeouhttps://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name>pour le point de terminaison/authorize. -
https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/logoutouhttps://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/logout?p=<policy-name>pour le point de terminaison/logout.
Points de terminaison qui ne sont pas affectés
Certains clients utilisent les fonctionnalités partagées des locataires d’entreprise Microsoft Entra. Par exemple, acquérir un jeton d’accès pour appeler l’API MS Graph de l’instance Azure AD B2C.
Cette modification n’affecte pas tous les points de terminaison, qui ne contiennent pas de paramètre de stratégie dans l’URL. Ils sont accessibles uniquement via les points de terminaison login.microsoftonline.com de Microsoft Entra ID et ne peuvent pas être utilisés avec les b2clogin.com ou des domaines personnalisés. L’exemple suivant montre un point de terminaison de jeton valide de la plateforme d’identité Microsoft :
https://login.microsoftonline.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token
Toutefois, si vous souhaitez uniquement obtenir un jeton pour authentifier les utilisateurs, vous pouvez spécifier la stratégie que votre application souhaite utiliser pour authentifier les utilisateurs. Dans ce cas, les endpoints mis à jour /token seront similaires aux exemples suivants.
https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/tokenouhttps://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token?p=<policy-name>lorsque vous utilisez b2clogin.com.https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/tokenouhttps://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token?p=<policy-name>lorsque vous utilisez un domaine personnalisé.
Vue d’ensemble des modifications requises
Vous devrez peut-être effectuer plusieurs modifications pour migrer vos applications à partir de login.microsoftonline.com à l’aide de points de terminaison Azure AD B2C :
- Modifiez l’URL de redirection dans les applications de votre fournisseur d’identité pour référencer b2clogin.com ou un domaine personnalisé. Pour plus d’informations, suivez les instructions relatives aux URL de redirection du changement de fournisseur d’identité.
- Mettez à jour vos applications Azure AD B2C pour utiliser b2clogin.com ou un domaine personnalisé dans leurs références de flux utilisateur et de point de terminaison de jeton. La modification peut inclure la mise à jour de votre utilisation d’une bibliothèque d’authentification telle que Microsoft Authentication Library (MSAL).
- Mettez à jour toutes les origines autorisées que vous définissez dans les paramètres CORS pour la personnalisation de l’interface utilisateur.
Modifier les URL de redirection des fournisseurs d’identité
Sur le site web de chaque fournisseur d’identité dans lequel vous avez créé une application, modifiez toutes les URL approuvées pour vous rediriger vers your-tenant-name.b2clogin.com, ou un domaine personnalisé au lieu de login.microsoftonline.com.
Il existe deux formats que vous pouvez utiliser pour vos URL de redirection b2clogin.com. Le premier offre l’avantage de faire disparaître « Microsoft » de l’URL en utilisant l’ID de locataire (un GUID) à la place de votre nom de domaine de locataire. Notez que le authresp point de terminaison peut ne pas contenir de nom de stratégie.
https://{your-tenant-name}.b2clogin.com/{your-tenant-id}/oauth2/authresp
La deuxième option utilise le nom de domaine de votre locataire sous la forme .your-tenant-name.onmicrosoft.com Par exemple:
https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp
Pour les deux formats :
- Remplacez
{your-tenant-name}par le nom de votre locataire Azure AD B2C. - Supprimez
/tes’il existe dans l’URL.
Mettre à jour vos applications et API
Le code de vos applications et API compatibles avec Azure AD B2C peut se référer à login.microsoftonline.com à plusieurs endroits. Par exemple, votre code peut avoir des références aux flux utilisateur et aux points de terminaison de jeton. Mettez à jour ce qui suit pour référencer your-tenant-name.b2clogin.comà la place :
- Point de terminaison d’autorisation
- Point de terminaison de jeton
- Émetteur de jeton
Par exemple, le point de terminaison d’autorité de la stratégie d’inscription/connexion de Contoso serait désormais :
https://contosob2c.b2clogin.com/00000000-0000-0000-0000-000000000000/B2C_1_signupsignin1
Pour plus d’informations sur la migration d’applications web OWIN vers b2clogin.com, consultez Migrer une API web basée sur OWIN vers b2clogin.com.
Pour migrer des API Gestion des API Azure protégées par Azure AD B2C, consultez la section Migrer vers b2clogin.com de Sécuriser une API Gestion des API Azure avec Azure AD B2C.
Bibliothèque d’authentification Microsoft (MSAL)
Propriété MSAL.NET ValidateAuthority
Si vous utilisez MSAL.NET v2 ou une version antérieure, définissez la propriété false sur sur l’instanciation du client pour autoriser les redirections vers b2clogin.com. La définition de cette valeur false n’est pas nécessaire pour MSAL.NET v3 et versions ultérieures.
ConfidentialClientApplication client = new ConfidentialClientApplication(...); // Can also be PublicClientApplication
client.ValidateAuthority = false; // MSAL.NET v2 and earlier **ONLY**
MSAL pour la propriété JavaScript validateAuthority
Si vous utilisez MSAL pour JavaScript v1.2.2 ou version antérieure, définissez la propriété false sur .
// MSAL.js v1.2.2 and earlier
this.clientApplication = new UserAgentApplication(
env.auth.clientId,
env.auth.loginAuthority,
this.authCallback.bind(this),
{
validateAuthority: false // Required in MSAL.js v1.2.2 and earlier **ONLY**
}
);
Si vous définissez validateAuthority: true dans MSAL.js 1.3.0+ (valeur par défaut), vous devez également spécifier un émetteur de jeton valide avec knownAuthorities:
// MSAL.js v1.3.0+
this.clientApplication = new UserAgentApplication(
env.auth.clientId,
env.auth.loginAuthority,
this.authCallback.bind(this),
{
validateAuthority: true, // Supported in MSAL.js v1.3.0+
knownAuthorities: ['tenant-name.b2clogin.com'] // Required if validateAuthority: true
}
);
Contenu connexe
Pour plus d’informations sur la migration d’applications web OWIN vers b2clogin.com, consultez Migrer une API web basée sur OWIN vers b2clogin.com.
Pour migrer des API Gestion des API Azure protégées par Azure AD B2C, consultez la section Migrer vers b2clogin.com de Sécuriser une API Gestion des API Azure avec Azure AD B2C.