Udostępnij przez

Konfigurowanie usługi Azure Active Directory B2C przy użyciu rozwiązania Bluink eID-Me na potrzeby weryfikacji tożsamości

Ważne

Od 1 maja 2025 r. usługa Azure AD B2C nie będzie już dostępna do zakupu dla nowych klientów. Dowiedz się więcej w naszych często zadawanych pytaniach.

Zanim rozpoczniesz

Usługa Azure Active Directory B2C (Azure AD B2C) ma dwie metody definiowania interakcji użytkowników z aplikacjami: wstępnie zdefiniowanych przepływów użytkowników lub konfigurowalnych zasad niestandardowych. Zasady niestandardowe dotyczą złożonych scenariuszy. W przypadku większości scenariuszy zalecamy przepływy użytkowników. Zobacz Omówienie przepływów użytkownika i zasad niestandardowych

Integrowanie uwierzytelniania usługi Azure AD B2C z eID-Me

Dowiedz się, jak zintegrować uwierzytelnianie usługi Azure AD B2C z rozwiązaniem Bluink eID-Me, weryfikacji tożsamości i zdecentralizowanej tożsamości cyfrowej dla obywateli Kanady. Dzięki identyfikatorowi eID-Me dzierżawy usługi Azure AD B2C weryfikują tożsamość użytkownika, uzyskują zweryfikowane oświadczenia dotyczące rejestracji i tożsamości logowania. Integracja obsługuje uwierzytelnianie wieloskładnikowe i logowanie bez hasła z bezpieczną tożsamością cyfrową. Organizacje mogą spełniać wymagania dotyczące poziomu IAL (Identity Assurance Level) 2 i Know Your Customer (KYC).

Aby dowiedzieć się więcej, przejdź do bluink.ca: Bluink Ltd

Wymagania wstępne

Aby rozpocząć pracę, potrzebne są następujące elementy:

Zobacz również Samouczek: tworzenie przepływów użytkownika i zasad niestandardowych w usłudze Azure AD B2C.

Opis scenariusza

EID-Me integruje się z usługą Azure AD B2C jako dostawca tożsamości OpenID Connect (OIDC). Następujące składniki składają się na rozwiązanie eID-Me z usługą Azure AD B2C:

  • Instancja Azure AD B2C — skonfigurowana jako strona ufająca w eID-Me, umożliwia aplikacji eID-Me zaufanie instancji Azure AD B2C na potrzeby rejestracji i logowania.
  • Aplikacja dzierżawcy usługi Azure AD B2C — zakłada się, że dzierżawcy potrzebują aplikacji dzierżawcy usługi Azure AD B2C
    • Aplikacja odbiera oświadczenia tożsamości odebrane przez usługę Azure AD B2C podczas transakcji
  • Aplikacje na smartfony eID-Me — użytkownicy dzierżawy usługi Azure AD B2C potrzebują aplikacji dla systemu iOS lub Android
  • Wystawione tożsamości cyfrowe eID-Me — z weryfikacji tożsamości eID-Me
    • Użytkownicy otrzymują tożsamość cyfrową w portfelu cyfrowym w aplikacji. Wymagane są prawidłowe dokumenty tożsamości.

Aplikacje eID-Me uwierzytelniają użytkowników podczas transakcji. Uwierzytelnianie klucza publicznego X509 zapewnia uwierzytelnianie wieloskładnikowe bez hasła przy użyciu prywatnego klucza do podpisywania w tożsamości cyfrowej eID-Me.

Na poniższym diagramie przedstawiono weryfikację tożsamości eID-Me, która występuje poza przepływami usługi Azure AD B2C.

Diagram przepływu sprawdzania tożsamości w eID-Me.

  1. Użytkownik przekazuje selfie do aplikacji na smartfony eID-Me.
  2. Użytkownik skanuje i przekazuje rząd wystawiony dokument identyfikacyjny, taki jak paszport lub prawo jazdy, do aplikacji eID-Me na smartfony.
  3. EID-Me przesyła dane do usługi tożsamości w celu weryfikacji.
  4. Użytkownik otrzymuje tożsamość cyfrową, która jest zapisywana w aplikacji.

Na poniższym diagramie przedstawiono integrację usługi Azure AD B2C z eID-Me.

Diagram integracji usługi Azure AD B2C z aplikacją eID-Me.

  1. Użytkownik otwiera stronę logowania usługi Azure AD B2C i loguje się lub rejestruje się przy użyciu nazwy użytkownika.
  2. Użytkownik przekierowany do polityki logowania i rejestracji w Azure AD B2C.
  3. Usługa Azure AD B2C przekierowuje użytkownika do routera tożsamości eID-Me przy użyciu przepływu kodu autoryzacji OIDC.
  4. Router wysyła powiadomienie push do aplikacji mobilnej użytkownika z prośbą o uwierzytelnienie i autoryzację oraz ich szczegółami.
  5. Zostanie wyświetlone wyzwanie dotyczące uwierzytelniania użytkownika, a następnie zostanie wyświetlony monit o podanie oświadczeń tożsamości.
  6. Odpowiedź na żądanie przechodzi do routera.
  7. Router odpowiada usłudze Azure AD B2C, podając wynik uwierzytelniania.
  8. Odpowiedź tokenu identyfikatora usługi Azure AD B2C jest kierowana do aplikacji.
  9. Użytkownik otrzymuje lub odmawia dostępu.

Wprowadzenie do eID-Me

Przejdź do strony bluink.ca Skontaktuj się z nami, aby zażądać demonstracji w celu skonfigurowania środowiska testowego lub produkcyjnego do ustawienia dzierżaw usługi Azure AD B2C jako zaufanej strony. Dzierżawcy określają oświadczenia tożsamości wymagane od użytkowników, którzy tworzą konto za pomocą identyfikatora eID-Me.

Konfigurowanie aplikacji w eID-Me

Aby skonfigurować aplikację dzierżawy jako jednostkę uzależnioną eID-ME w eID-Me, podaj następujące informacje:

Nieruchomość / Majątek Opis
Nazwa Usługa Azure AD B2C lub inna nazwa aplikacji
Domena name.onmicrosoft.com
Identyfikatory URI przekierowania https://jwt.ms
Adresy URL przekierowania https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp
Na przykład: https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp
W przypadku domeny niestandardowej wprowadź https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp.
Adres URL strony głównej aplikacji Pojawia się użytkownikowi końcowemu
Adres URL zasad ochrony prywatności aplikacji Pojawia się użytkownikowi końcowemu

Uwaga

Po skonfigurowaniu jednostki uzależnionej ID-Me udostępnia identyfikator klienta i klucz tajny klienta. Zanotuj identyfikator klienta i klucz tajny klienta, aby skonfigurować dostawcę tożsamości w usłudze Azure AD B2C.

Dodawanie nowego dostawcy tożsamości w usłudze Azure AD B2C

Aby uzyskać poniższe instrukcje, użyj katalogu z dzierżawą usługi Azure AD B2C.

  1. Zaloguj się do portalu Azure jako co najmniej administrator zasad IEF B2C w dzierżawie usługi Azure AD B2C.
  2. W górnym menu wybierz pozycję Katalog i subskrypcja.
  3. Wybierz katalog z dzierżawcą.
  4. W lewym górnym rogu witryny Azure Portal wybierz pozycję Wszystkie usługi.
  5. Wyszukaj i wybierz Azure AD B2C.
  6. Przejdź do pozycji Pulpit nawigacyjny>usługi Azure Active Directory B2C>Dostawcy tożsamości.
  7. Wybierz Nowego dostawcę OpenID Connect.
  8. Wybierz Dodaj.

Skonfiguruj dostawcę tożsamości

Aby skonfigurować dostawcę tożsamości:

  1. Wybierz Typ dostawcy tożsamości>OpenID Connect.
  2. W formularzu dostawcy tożsamości, dla Nazwa, wprowadź eID-Me Passwordless albo inną nazwę.
  3. W polu Identyfikator klienta wprowadź identyfikator klienta z adresu eID-Me.
  4. W polu Klucz tajny klienta wprowadź klucz tajny klienta z adresu eID-Me.
  5. W polu Zakres wybierz pozycję openid profil poczty e-mail.
  6. W polu Typ odpowiedzi wybierz pozycję Kod.
  7. W obszarze Tryb odpowiedzi wybierz pozycję Wpis formularza.
  8. Kliknij przycisk OK.
  9. Wybierz pozycję Mapuj oświadczenia tego dostawcy tożsamości.
  10. W przypadku identyfikatora użytkownika użyj sub.
  11. W polu Nazwa wyświetlana użyj nazwy.
  12. W polu Dana nazwa użyj given_name.
  13. W przypadku nazwiska użyj family_name.
  14. W obszarze Poczta e-mail użyj adresu e-mail.
  15. Wybierz Zapisz.

Konfigurowanie uwierzytelniania wieloskładnikowego

eID-Me jest uwierzytelniaczem wieloskładnikowym, dlatego konfiguracja uwierzytelniania wieloskładnikowego dla użytkownika nie jest wymagana.

Tworzenie zasad przepływu użytkownika

W poniższych instrukcjach eID-Me pojawia się jako nowy dostawca tożsamości OIDC w kategorii dostawców tożsamości B2C.

  1. W dzierżawie usługi Azure AD B2C w sekcji Zasady wybierz pozycję Przepływy użytkownika.
  2. Wybierz pozycję Nowy przepływ użytkownika.
  3. Wybierz Zarejestruj się i zaloguj>Wersja>Utwórz.
  4. Wprowadź nazwę polityki.
  5. W obszarze Dostawcy tożsamości wybierz utworzonego dostawcę tożsamości eID-Me.
  6. W obszarze Konta lokalne wybierz pozycję Brak. Zaznaczenie powoduje wyłączenie uwierzytelniania wiadomości e-mail i hasła.
  7. Wybierz Uruchom przepływ użytkownika.
  8. Wprowadź adres URL odpowiedzi, taki jak https://jwt.ms.
  9. Przeglądarka przekierowuje do strony logowania eID-Me.
  10. Wprowadź nazwę konta z rejestracji użytkownika.
  11. Użytkownik otrzymuje powiadomienie push na urządzeniu przenośnym w aplikacji eID-Me.
  12. Pojawi się wyzwanie dotyczące uwierzytelniania.
  13. Wyzwanie jest akceptowane, a przeglądarka przekierowuje do adresu URL odpowiedzi.

Uwaga

Usługa Azure Active Directory B2C (Azure AD B2C) ma dwie metody definiowania interakcji użytkowników z aplikacjami: wstępnie zdefiniowanych przepływów użytkowników lub konfigurowalnych zasad niestandardowych. Zasady niestandardowe dotyczą złożonych scenariuszy. W przypadku większości scenariuszy zalecamy przepływy użytkowników. Zobacz Omówienie przepływów użytkownika i zasad niestandardowych

Tworzenie klucza zasad

Zapisz tajny klienta, który zapisałeś w swojej dzierżawie usługi Azure AD B2C. Aby uzyskać poniższe instrukcje, użyj katalogu z dzierżawą usługi Azure AD B2C.

  1. Zaloguj się do portalu Azure.
  2. Na pasku narzędzi portalu wybierz katalogi i subskrypcje.
  3. Na stronie Ustawienia portalu katalogi i subskrypcje na liście Nazwa katalogu znajdź katalog usługi Azure AD B2C.
  4. Wybierz opcję Przełącz.
  5. W lewym górnym rogu witryny Azure Portal wybierz pozycję Wszystkie usługi.
  6. Wyszukaj i wybierz Azure AD B2C.
  7. Na stronie Przegląd wybierz pozycję Identity Experience Framework.
  8. Wybierz Klucze zasad.
  9. Wybierz Dodaj.
  10. W obszarze Opcje wybierz pozycję Ręczne.
  11. Wprowadź nazwę klucza zasad. Na przykład eIDMeClientSecret. Prefiks B2C_1A_ jest dodawany do nazwy klucza.
  12. W polu Sekret wprowadź zanotowany Tajny Klucz klienta.
  13. W obszarze Użycie klucza wybierz pozycję Podpis.
  14. Wybierz Utwórz.

Konfiguracja eID-Me jako dostawcy tożsamości

Zdefiniuj eID-Me jako dostawcę oświadczeń, aby umożliwić użytkownikom logowanie się za pomocą identyfikatora eID-Me. Usługa Azure AD B2C komunikuje się z nim za pośrednictwem punktu końcowego. Punkt końcowy udostępnia oświadczenia używane przez usługę Azure AD B2C do weryfikowania uwierzytelniania użytkownika przy użyciu identyfikatora cyfrowego na urządzeniu.

Aby zdefiniować eID-Me jako dostawcę oświadczeń, dodaj go do elementu ClaimsProvider w pliku rozszerzenia zasad.

  1. Otwórz TrustFrameworkExtensions.xml.

  2. Znajdź element ClaimsProviders . Jeśli nie zostanie wyświetlony, dodaj go pod elementem głównym.

  3. Dodaj nowego ClaimsProvider:

       <ClaimsProvider>
   <Domain>eID-Me</Domain>
   <DisplayName>eID-Me</DisplayName>
   <TechnicalProfiles>
     <TechnicalProfile Id="eID-Me-OIDC">
       <!-- The text in the following DisplayName element is shown to the user on the claims provider 
selection screen. -->
       <DisplayName>eID-Me for Sign In</DisplayName>
       <Protocol Name="OpenIdConnect" />
       <Metadata>
         <Item Key="ProviderName">https://eid-me.bluink.ca</Item>
         <Item Key="METADATA">https://demoeid.bluink.ca/.well-known/openid-configuration</Item>
         <Item Key="response_types">code</Item>
         <Item Key="scope">openid email profile</Item>
         <Item Key="response_mode">form_post</Item>
         <Item Key="HttpBinding">POST</Item>
         <Item Key="token_endpoint_auth_method">client_secret_post</Item>
         <Item Key="client_id">eid_me_rp_client_id</Item>
         <Item Key="UsePolicyInRedirectUri">false</Item>
       </Metadata>
       <CryptographicKeys>
         <Key Id="client_secret" StorageReferenceId="B2C_1A_eIDMeClientSecret" />
       </CryptographicKeys>
       <InputClaims />
       <OutputClaims>
         <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
         <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" />
         <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
         <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
         <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
         <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
         <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
         <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
         <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
         <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
         <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
       </OutputClaims>
       <OutputClaimsTransformations>
         <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
         <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
         <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
         <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
       </OutputClaimsTransformations>
       <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
     </TechnicalProfile>
   </TechnicalProfiles>
 </ClaimsProvider>

  4. W przypadku eid_me_rp_client_id wprowadź identyfikator klienta jednostki uzależnionej eID-Me.

  5. Wybierz Zapisz.

Obsługiwane oświadczenia tożsamości

Możesz dodać więcej oświadczeń tożsamości, które obsługuje eID-Me.

  1. Otwórz TrustFrameworksExtension.xml.
  2. Znajdź element BuildingBlocks.

Uwaga

Znajdź obsługiwane listy oświadczeń tożsamości eID-Me w repozytorium OID z identyfikatorami OIDC w well-known/openid-configuration.

<BuildingBlocks>
<ClaimsSchema>
 <ClaimType Id="IAL">
     <DisplayName>Identity Assurance Level</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="identity_assurance_level_achieved" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</AdminHelpText>
     <UserHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</UserHelpText>
     <UserInputType>Readonly</UserInputType>
   </ClaimType>

<ClaimType Id="picture">
     <DisplayName>Portrait Photo</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="thumbnail_portrait" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The portrait photo of the user.</AdminHelpText>
     <UserHelpText>Your portrait photo.</UserHelpText>
     <UserInputType>Readonly</UserInputType>
   </ClaimType>

 <ClaimType Id="middle_name">
     <DisplayName>Portrait Photo</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="middle_name" />
     </DefaultPartnerClaimTypes>
     <UserHelpText>Your middle name.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

<ClaimType Id="birthdate">
     <DisplayName>Date of Birth</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="birthdate" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's date of birth.</AdminHelpText>
     <UserHelpText>Your date of birth.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

 <ClaimType Id="gender">
     <DisplayName>Gender</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="gender" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's gender.</AdminHelpText>
     <UserHelpText>Your gender.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>
 
 <ClaimType Id="street_address">
     <DisplayName>Locality/City</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="street_address" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's full street address, which MAY include house number, street name, post office box.</AdminHelpText>
     <UserHelpText>Your street address of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

<ClaimType Id="locality">
     <DisplayName>Locality/City</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="locality" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current city or locality of residence.</AdminHelpText>
     <UserHelpText>Your current city or locality of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="region">
     <DisplayName>Province or Territory</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="region" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current province or territory of residence.</AdminHelpText>
     <UserHelpText>Your current province or territory of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="country">
     <DisplayName>Country</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="country" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current country of residence.</AdminHelpText>
     <UserHelpText>Your current country of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="dl_number">
     <DisplayName>Driver's Licence Number</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="dl_number" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's driver's licence number.</AdminHelpText>
     <UserHelpText>Your driver's licence number.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="dl_class">
     <DisplayName>Driver's Licence Class</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="dl_class" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's driver's licence class.</AdminHelpText>
     <UserHelpText>Your driver's licence class.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>
 </ClaimsSchema>

Dodanie ścieżki użytkownika

W poniższych instrukcjach dostawca tożsamości jest skonfigurowany, ale nie na żadnej stronie logowania. Jeśli nie masz niestandardowej podróży użytkownika, skopiuj podróż użytkownika z szablonu.

  1. Otwórz plik TrustFrameworkBase.xml w pakiecie startowym.
  2. Znajdź i skopiuj zawartość elementu UserJourneys , który zawiera identyfikator=SignUpOrSignIn.
  3. Otwórz TrustFrameworkExtensions.xml.
  4. Znajdź element UserJourneys . Jeśli element nie zostanie wyświetlony, dodaj go.
  5. Wklej zawartość elementu UserJourney jako element podrzędny elementu UserJourneys .
  6. Zmień nazwę identyfikatora podróży użytkownika, na przykład ID=CustomSignUpSignIn.

Dodaj dostawcę tożsamości do podróży użytkownika

Dodaj nowego dostawcę tożsamości do ścieżki użytkownika.

  1. W podróży użytkownika znajdź element kroku aranżacji z Type=CombinedSignInAndSignUp lub Type=ClaimsProviderSelection. Zazwyczaj jest to pierwszy krok aranżacji. Element ClaimsProviderSelections zawiera listę dostawców tożsamości, za pomocą których loguje się użytkownik. Kolejność elementów kontroluje kolejność przycisków logowania widocznych przez użytkownika.
  2. Dodaj element XML ClaimsProviderSelection.
  3. Ustaw wartość TargetClaimsExchangeId na przyjazną nazwę.
  4. W następnym kroku aranżacji dodaj element ClaimsExchange .
  5. Ustaw identyfikator na docelowy identyfikator wymiany roszczeń.
  6. Zaktualizuj wartość vTechnicalProfileReferenceId na identyfikator profilu technicznego, który utworzyłeś.

Poniższy kod XML przedstawia siedem kroków orkiestracji podróży użytkownika u dostawcy tożsamości:

 <UserJourney Id="eIDME-SignUpOrSignIn">
   <OrchestrationSteps>
     <OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
       <ClaimsProviderSelections>
         <ClaimsProviderSelection TargetClaimsExchangeId="eIDMeExchange" />
        </ClaimsProviderSelections>
   </OrchestrationStep>
     <!-- Check if the user has selected to sign in using one of the social providers -->
     <OrchestrationStep Order="2" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="eIDMeExchange" TechnicalProfileReferenceId="eID-Me-OIDC" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- For social IDP authentication, attempt to find the user account in the directory. -->
     <OrchestrationStep Order="3" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
           <Value>authenticationSource</Value>
           <Value>localAccountAuthentication</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserReadUsingAlternativeSecurityId" TechnicalProfileReferenceId="AAD-UserReadUsingAlternativeSecurityId-NoError" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- Show self-asserted page only if the directory does not have the user account already (i.e. we do not have an objectId).  -->
     <OrchestrationStep Order="4" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="SelfAsserted-Social" TechnicalProfileReferenceId="SelfAsserted-Social" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- This step reads any user attributes that we may not have received when authenticating using ESTS so they can be sent in the token. -->
     <OrchestrationStep Order="5" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
           <Value>authenticationSource</Value>
           <Value>socialIdpAuthentication</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserReadWithObjectId" TechnicalProfileReferenceId="AAD-UserReadUsingObjectId" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- The previous step (SelfAsserted-Social) could have been skipped if there were no attributes to collect 
          from the user. So, in that case, create the user in the directory if one does not already exist 
          (verified using objectId which would be set from the last step if account was created in the directory. -->
     <OrchestrationStep Order="6" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserWrite" TechnicalProfileReferenceId="AAD-UserWriteUsingAlternativeSecurityId" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <OrchestrationStep Order="7" Type="SendClaims" CpimIssuerTechnicalProfileReferenceId="JwtIssuer" />
   </OrchestrationSteps>
   <ClientDefinition ReferenceId="DefaultWeb" />
 </UserJourney>

Konfigurowanie polityki podmiotu polegającego

Polityka współpracującej strony określa ścieżkę użytkownika realizowaną przez Azure AD B2C. Oświadczenia przekazywane do aplikacji można kontrolować. Dostosuj element OutputClaims w elemencie eID-Me-OIDC-Signup TechnicalProfile. W poniższym przykładzie aplikacja odbiera kod pocztowy użytkownika, lokalizację, region, IAL, portret, imię i nazwisko i datę urodzenia użytkownika. Otrzymuje on oświadczenie logiczne signupConditionsSatisfied , które wskazuje, czy konto zostało utworzone.

 <RelyingParty>
     <DefaultUserJourney ReferenceId="eIDMe-SignUpOrSignIn" />
     <TechnicalProfile Id="PolicyProfile">
       <DisplayName>PolicyProfile</DisplayName>
       <Protocol Name="OpenIdConnect" />
       <OutputClaims>
         <OutputClaim ClaimTypeReferenceId="displayName" />
         <OutputClaim ClaimTypeReferenceId="givenName" />
         <OutputClaim ClaimTypeReferenceId="surname" />
         <OutputClaim ClaimTypeReferenceId="email" />
         <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
         <OutputClaim ClaimTypeReferenceId="identityProvider" />
         <OutputClaim ClaimTypeReferenceId="tenantId" AlwaysUseDefaultValue="true" DefaultValue="{Policy:TenantObjectId}" />
         <OutputClaim ClaimTypeReferenceId="postalCode" PartnerClaimType="postal_code" DefaultValue="unknown postal_code" />
         <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
         <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
         <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
         <OutputClaim ClaimTypeReferenceId="picture" PartnerClaimType="thumbnail_portrait" DefaultValue="unknown portrait" />
         <OutputClaim ClaimTypeReferenceId="middle_name" PartnerClaimType="middle_name" DefaultValue="unknown middle name" />
         <OutputClaim ClaimTypeReferenceId="birthdate" PartnerClaimType="birthdate" DefaultValue="unknown DOB" />
         <OutputClaim ClaimTypeReferenceId="newUser" PartnerClaimType="signupConditionsSatisfied" DefaultValue="false" />
       </OutputClaims>
       <SubjectNamingInfo ClaimType="sub" />
     </TechnicalProfile>
   </RelyingParty>

Przekaż zasady niestandardowe

Aby uzyskać poniższe instrukcje, użyj katalogu z dzierżawą usługi Azure AD B2C.

  1. Zaloguj się do portalu Azure.
  2. Na pasku narzędzi portalu wybierz katalogi i subskrypcje.
  3. Na stronie Ustawienia portalu katalogi i subskrypcje na liście Nazwa katalogu znajdź katalog usługi Azure AD B2C.
  4. Wybierz opcję Przełącz.
  5. W witrynie Azure Portal wyszukaj i wybierz pozycję Azure AD B2C.
  6. W obszarze Policieswybierz pozycję Identity Experience Framework.
  7. Wybierz Przekaż niestandardową politykę.
  8. Przekaż dwa zmienione pliki zasad w następującej kolejności:
  • Polityka rozszerzeń, na przykład TrustFrameworkBase.xml
  • Polityka strony ufającej, na przykład SignUp.xml

Testowanie zasad niestandardowych

  1. Wybierz politykę strony ufającej, na przykład B2C_1A_signup.
  2. W polu Aplikacja wybierz zarejestrowaną aplikację internetową.
  3. Adres URL odpowiedzi to https://jwt.ms.
  4. Wybierz opcję Uruchom teraz.
  5. Zasady rejestracji wywołują eID-Me.
  6. Aby zalogować się, wybierz pozycję eID-Me.
  7. Przeglądarka przekierowuje do https://jwt.ms.
  8. Zostanie wyświetlona zawartość tokenu zwrócona przez usługę Azure AD B2C.

Dowiedz się więcej : Samouczek: rejestrowanie aplikacji internetowej w usłudze Azure AD B2C

Następne kroki

  • Last updated on