Konfigurowanie zabezpieczeń transmisji za pomocą usługi Azure Active Directory B2C na potrzeby uwierzytelniania za pomocą kluczy dostępu

Ważne

Od 1 maja 2025 r. usługa Azure AD B2C nie będzie już dostępna do zakupu dla nowych klientów. Dowiedz się więcej w naszych często zadawanych pytaniach.

Z tego samouczka dowiesz się, jak zintegrować uwierzytelnianie usługi Azure Active Directory B2C (Azure AD B2C) z rozwiązaniem uwierzytelniania hostowanych kluczy dostępu usługi Transmit Security. Usługa Transmit Security używa silnego uwierzytelniania biometrycznego Fast Identity Online (FIDO2) do niezawodnego uwierzytelniania wielokanałowego. Rozwiązanie zapewnia bezproblemowe środowisko logowania dla klientów na różnych urządzeniach i kanałach, jednocześnie zmniejszając oszustwa, wyłudzanie informacji i ponowne używanie poświadczeń.

Opis scenariusza

Poniższy diagram architektury ilustruje implementację:

Diagram architektury transmisji i usługi Azure AD B2C.

Użytkownik otwiera stronę logowania usługi Azure AD B2C i loguje się lub rejestruje.
Usługa Azure AD B2C przekierowuje użytkownika do usługi Transmit Security przy użyciu żądania OpenID Connect (OIDC).
Usługa Transmit Security uwierzytelnia użytkownika przy użyciu bezaplikacyjnych danych biometrycznych FIDO2, takich jak odcisk palca.
Odpowiedź zdecentralizowanego uwierzytelniania jest zwracana do Transmit Security.
Odpowiedź OIDC jest przekazywana do usługi Azure AD B2C.
Użytkownik otrzymuje lub odmawia dostępu do aplikacji na podstawie wyników weryfikacji.

Wymagania wstępne

Aby rozpocząć pracę, potrzebne są następujące elementy:

Subskrypcja firmy Microsoft Entra. Jeśli go nie masz, pobierz bezpłatne konto.
Tenant usługi Azure AD B2C powiązany z subskrypcją Entra.
Zarejestrowana aplikacja internetowa w dzierżawie Azure AD B2C.
Najemca Transmit Security. Przejdź do transmitsecurity.com.

Subskrypcja firmy Microsoft Entra. Jeśli go nie masz, pobierz bezpłatne konto.
Tenant usługi Azure AD B2C powiązany z subskrypcją Entra.
Zarejestrowana aplikacja internetowa w dzierżawie Azure AD B2C.
Zasady niestandardowe usługi Azure AD B2C.
Najemca Transmit Security. Przejdź do transmitsecurity.com.

Krok 1. Tworzenie aplikacji do przesyłania

Zaloguj się w Transmit Admin Portal i utwórz aplikację:

W obszarze Aplikacje wybierz pozycję Dodaj aplikację.

Skonfiguruj aplikację przy użyciu następujących atrybutów:

Majątek	Opis
Nazwa aplikacji	Nazwa aplikacji
Nazwa klienta	Nazwa klienta
Identyfikatory URI przekierowania	`https://<your-B2C-tenant>.b2clogin.com/<your-B2C-tenant>.onmicrosoft.com/oauth2/authresp` gdzie `<your-B2C-tenant>` to domena dzierżawy Azure AD B2C (lub `<your-B2C-tenant>.b2clogin.com` to domena niestandardowa)

Wybierz Dodaj.
Po rejestracji zostanie wyświetlony identyfikator klienta i klucz tajny klienta . Zarejestruj wartości, które mają być używane później.

W portalu administracyjnym transmisji skonfiguruj środowisko uwierzytelniania użytkownika:

Wybierz pozycję Uwierzytelnianie, a następnie wybierz pozycję Zarządzanie środowiskami.
Z menu rozwijanego wybierz aplikację.

Skonfiguruj aplikację przy użyciu następujących atrybutów:

Majątek	Opis
Identyfikator użytkownika	Wybierz E-mail
Podstawowa metoda uwierzytelniania	Wybierz Klucz dostępu
Metoda uwierzytelniania pomocniczego	Włączanie tylko protokołu WebAuthn QR i E-mail OTP
Wybieranie informacji o użytkowniku	Usuń wszystkie pola domyślne

Wybierz Zapisz.

Krok 3: Dodaj Transmit jako dostawcę tożsamości

Aby umożliwić użytkownikom logowanie się przy użyciu usługi Transmit Security, skonfiguruj usługę Transmit Security jako nowy dostawca tożsamości. W usłudze Azure AD B2C wykonaj następujące kroki:

Zaloguj się do portalu Azure jako co najmniej administrator zasad IEF B2C.
Na pasku narzędzi portalu wybierz pozycję Katalogi i subskrypcje.
W ustawieniach portalu | Strona Katalogi i subskrypcje na liście Nazwa katalogu znajdź katalog usługi Azure AD B2C, a następnie wybierz pozycję Przełącz.
W obszarze Usługi platformy Azure wybierz pozycję Azure AD B2C (lub wybierz pozycję Więcej usług i użyj pola wyszukiwania Wszystkie usługi , aby wyszukać usługę Azure AD B2C).
Wybierz pozycję Dostawcy tożsamości, a następnie wybierz pozycję Nowy dostawca OpenID Connect.

Skonfiguruj dostawcę w następujący sposób:

Majątek	Opis
Nazwa	Nazwa, taka jak Transmit Security
Adres URL metadanych	`https://api.transmitsecurity.io/cis/oidc/.well-known/openid-configuration`
identyfikator klienta	Identyfikator klienta dostarczony przez usługę Transmit
Klucz tajny klienta	Tajny klucz klienta dostarczony przez Transmit
Zakres	`openid email`
Typ odpowiedzi	kod
Tryb odpowiedzi	form_post
Nazwa wyświetlana	`email`
E-mail	`email`

Wybierz Zapisz.

Krok 4. Tworzenie przepływu użytkownika

W tym momencie skonfigurowano dostawcę tożsamości Transmit Security, ale nie jest jeszcze dostępny na żadnej ze stronach logowania. Aby dodać dostawcę tożsamości Transmit Security do przepływu użytkownika:

W dzierżawie usługi Azure AD B2C w sekcji Zasady wybierz pozycję Przepływy użytkownika.
Wybierz pozycję Nowy przepływ użytkownika.
Wybierz pozycję Zarejestruj się i zaloguj się typ przepływu użytkownika, a następnie wybierz pozycję Utwórz.
Wprowadź nazwę ścieżki użytkownika, na przykład signupsignin.
W obszarze Dostawcy tożsamości:
- W obszarze Konta lokalne wybierz pozycję Brak.
- Dla Niestandardowych dostawców tożsamości wybierz dostawcę Transmit Security.
Wybierz pozycję Utwórz , aby dodać przepływ użytkownika.

Krok 5. Testowanie przepływu użytkownika

W dzierżawie usługi Azure AD B2C wybierz pozycję Przepływy użytkownika.
Wybierz utworzony przepływ użytkownika, taki jak B2C_1_signupsignin.
Wybierz pozycję Uruchom przepływ użytkownika:
- W polu Aplikacja wybierz zarejestrowaną aplikację internetową.
- W polu Adres URL odpowiedzi wybierz pozycję https://jwt.ms.
Wybierz Uruchom przepływ użytkownika.
Przeglądarka jest przekierowywana do strony logowania Transmit.
Ukończ przepływ logowania: wprowadź adres e-mail konta i uwierzytelnij się przy użyciu danych biometrycznych (na przykład odcisk palca).
Przeglądarka jest przekierowywana do https://jwt.ms z tokenem Azure AD B2C.

Krok 3. Tworzenie klucza zasad

Musisz przechowywać tajny klucz klienta swojej aplikacji Transmit, który wcześniej zarejestrowałeś w dzierżawie usługi Azure AD B2C.

Zaloguj się do witryny Azure Portal.
Na pasku narzędzi portalu wybierz pozycję Katalogi i subskrypcje.
W ustawieniach portalu | Strona Katalogi i subskrypcje na liście Nazwa katalogu znajdź katalog usługi Azure AD B2C, a następnie wybierz pozycję Przełącz.
Na stronie Przegląd w obszarze Zasady wybierz pozycję Identity Experience Framework.
Wybierz Klucze zasad, a następnie wybierz Dodaj.

Skonfiguruj klucz zasad w następujący sposób:

Majątek	Opis
Opcje	Instrukcja
Nazwa	Nazwa klucza zasad, taka jak TransmitClientSecret
Wpis tajny	Tajny klucz klienta dostarczony przez Transmit
Użycie klucza	Podpis

Wybierz pozycję Utwórz , aby dodać klucz zasad.

Krok 4: Dodaj Transmit jako dostawcę tożsamości

Aby włączyć logowanie za pomocą Transmit Security, zdefiniuj Transmit Security jako dostawcę oświadczeń, z którym Azure AD B2C komunikuje się za pośrednictwem punktu końcowego. Punkt końcowy udostępnia oświadczenia używane przez usługę Azure AD B2C do weryfikowania użytkownika uwierzytelnionego przy użyciu tożsamości cyfrowej na urządzeniu.

Możesz zdefiniować Transmit Security jako dostawcę roszczeń, dodając go do elementu ClaimsProviders w pliku rozszerzenia swojej polityki.

Pobierz pakiety początkowe zasad niestandardowych z usługi GitHub, a następnie zaktualizuj pliki XML w pakiecie startowym SocialAndLocalAccounts nazwą dzierżawy usługi Azure AD B2C:
1. Pobierz plik .zip lub sklonuj repozytorium:
```
git clone https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack
```
2. W plikach w katalogu LocalAccounts zastąp ciąg yourtenant nazwą dzierżawy usługi Azure AD B2C.
Otwórz LocalAccounts/ TrustFrameworkExtensions.xml.
Znajdź element ClaimsProviders . Jeśli nie zostanie wyświetlony, dodaj go pod elementem głównym.

Dodaj nowy element ClaimsProvider podobny do następującego przykładu:

 <ClaimsProvider>
     <Domain>api.transmitsecurity.io</Domain>
     <DisplayName>Transmit</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="TS-OpenIdConnect">
         <DisplayName>Transmit</DisplayName>
         <Protocol Name="OpenIdConnect" />
         <Metadata>
           <Item Key="METADATA">https://api.transmitsecurity.io/cis/oidc/.well-known/openid-configuration</Item>
            <!-- Update the Client ID below to the Transmit Security client ID -->
           <Item Key="client_id">00001111-aaaa-2222-bbbb-3333cccc4444</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid email</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
           <Item Key="AccessTokenResponseFormat">json</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_TransmitClientSecret" />
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>

Ustaw client_id za pomocą identyfikatora klienta Transmit Security.
Zaktualizuj sekcję client_secret o nazwę utworzonego klucza zasad (na przykład B2C_1A_TransmitClientSecret):
```
<Key Id="client_secret" StorageReferenceId="B2C_1A_TransmitClientSecret" />
```
Wybierz Zapisz.

Krok 5. Dodawanie podróży użytkownika

Obecnie dostawca tożsamości jest skonfigurowany, ale nie jest jeszcze dostępny na żadnej stronie logowania. Jeśli masz niestandardową ścieżkę użytkownika, przejdź do kroku Dodaj transmisję do ścieżki użytkownika. W przeciwnym razie utwórz zduplikowaną szablonową podróż użytkownika.

Otwórz plik LocalAccounts/ TrustFrameworkBase.xml w pakiecie startowym.
Znajdź i skopiuj zawartość elementu UserJourney , który zawiera Id=SignUpOrSignInelement .
Otwórz LocalAccounts/ TrustFrameworkExtensions.xml.
Znajdź element UserJourneys . Jeśli nie ma żadnego elementu, dodaj go.
Wklej element UserJourney jako element podrzędny elementu UserJourneys.
Zmień nazwę identyfikatora podróży użytkownika (na przykład Id=TransmitSUSI)

Krok 6. Dodawanie transmisji do podróży użytkownika

Dodaj nowego dostawcę tożsamości do podróży użytkownika:

Znajdź element kroku aranżacji, który zawiera Type=CombinedSignInAndSignUp lub Type=ClaimsProviderSelection w ścieżce użytkownika. Zazwyczaj jest to pierwszy krok aranżacji. Element ClaimsProviderSelections ma listę dostawców tożsamości, za pomocą których użytkownicy loguje się. Kolejność elementów kontroluje kolejność przycisków logowania.
Dodaj element XML ClaimsProviderSelection.
Ustaw wartość TargetClaimsExchangeId na przyjazną nazwę.
Dodaj element ClaimsExchange .
Ustaw identyfikator na wartość docelowego identyfikatora wymiany oświadczeń.
Zaktualizuj wartość TechnicalProfileReferenceId na utworzony identyfikator profilu technicznego.

Poniższy kod XML przedstawia orkiestrację ścieżki użytkownika z dostawcą tożsamości.

    <OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
      <ClaimsProviderSelections>
        ...
        <ClaimsProviderSelection TargetClaimsExchangeId="TSIDExchange" />
      </ClaimsProviderSelections>
      ...
    </OrchestrationStep>

    <OrchestrationStep Order="2" Type="ClaimsExchange">
      ...
      <ClaimsExchanges>
        <ClaimsExchange Id="TSIDExchange" TechnicalProfileReferenceId="TS-OpenIdConnect" />
      </ClaimsExchanges>
    </OrchestrationStep>

Krok 7: Konfigurowanie zasad strony ufającej

Polityka zaufanej strony, na przykład SignUpSignIn.xml, określa ścieżkę użytkownika realizowaną przez Azure AD B2C. Znajdź element DefaultUserJourney w ramach jednostki uzależnionej. Zaktualizuj identyfikator ReferenceId , aby był zgodny z identyfikatorem podróży użytkownika, w którym dodano dostawcę tożsamości.

W poniższym przykładzie dla ścieżki użytkownika TransmitSUSI identyfikator ReferenceId jest ustawiony na:TransmitSUSI

  <RelyingParty>
    <DefaultUserJourney ReferenceId="TransmitSUSI" />
    <TechnicalProfile Id="TS-OpenIdConnect">
      <DisplayName>PolicyProfile</DisplayName>
      <Protocol Name="OpenIdConnect" />
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="displayName" />
        <OutputClaim ClaimTypeReferenceId="givenName" />
        <OutputClaim ClaimTypeReferenceId="surname" />
        <OutputClaim ClaimTypeReferenceId="email" />
        <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
        <OutputClaim ClaimTypeReferenceId="identityProvider" />
        <OutputClaim ClaimTypeReferenceId="tenantId" AlwaysUseDefaultValue="true" DefaultValue="{Policy:TenantObjectId}" />
      </OutputClaims>
      <SubjectNamingInfo ClaimType="sub" />
    </TechnicalProfile>
  </RelyingParty>

Krok 8. Przesyłanie zasady niestandardowej

Korzystając z katalogu z dzierżawą usługi Azure AD B2C, przekaż zasady niestandardowe:

Zaloguj się do witryny Azure Portal.
Na pasku narzędzi portalu wybierz pozycję Katalogi i subskrypcje.
W ustawieniach portalu | Strona Katalogi i subskrypcje na liście Nazwa katalogu znajdź katalog usługi Azure AD B2C, a następnie wybierz pozycję Przełącz.
W obszarze Policieswybierz pozycję Identity Experience Framework.
Wybierz Prześlij niestandardowe zasady, a następnie prześlij zaktualizowane pliki w następującej kolejności:

Podstawowe zasady, na przykład TrustFrameworkBase.xml
Zasady lokalizacji, na przykład TrustFrameworkLocalization.xml
Polityka rozszerzeń, na przykład TrustFrameworkExtensions.xml
Zasady podmiotu polegającego, takie jak SignUpOrSignIn.xml

Krok 9: Przetestuj swoje zasady niestandardowe

Korzystając z katalogu z dzierżawą usługi Azure AD B2C, przetestuj zasady niestandardowe:

W dzierżawie Azure AD B2C, w sekcji Zasady, wybierz Identity Experience Framework.
W obszarze Zasady niestandardowe wybierz B2C_1A_signup_signin.
W polu Aplikacja wybierz zarejestrowaną aplikację internetową. Adres URL odpowiedzi to https://jwt.ms.
Wybierz opcję Uruchom teraz.
Przeglądarka jest przekierowywana do strony logowania Transmit.
Ukończ przepływ logowania: wprowadź adres e-mail konta i uwierzytelnij się przy użyciu danych biometrycznych (na przykład odcisk palca).
Przeglądarka jest przekierowywana do https://jwt.ms z tokenem Azure AD B2C.

Dalsze kroki

Aby uzyskać dodatkowe informacje, zapoznaj się z następującymi artykułami:

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-05-05