Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais em nossas perguntas frequentes.
Use controles de exibição TOTP (senha única) baseados em tempo para habilitar a autenticação multifator usando o método TOTP. Os usuários finais precisam usar um aplicativo autenticador que gere códigos TOTP, como o aplicativo Microsoft Authenticator ou qualquer outro aplicativo autenticador que dê suporte à verificação TOTP.
Para habilitar o TOTP em sua política personalizada, use os seguintes controles de exibição:
- totpQrCodeControl – Renderize o código QR e um link profundo. Quando o usuário examina o código QR ou abre o link profundo, o aplicativo autenticador é aberto para que o usuário possa concluir o processo de registro.
- AuthenticatorAppIconControl – Renderize o ícone do aplicativo Microsoft Authenticator com um link para baixar o aplicativo no dispositivo móvel do usuário.
- AuthenticatorInfoControl – Renderize a introdução ao TOTP.
A captura de tela a seguir ilustra a página de registro TOTP mostrando os três controles de exibição.
O snippet XML a seguir mostra os três controles de exibição:
<DisplayControls>
<!-- Render the QR code by taking the URI (qrCodeContent) input claim and rendering it as a QR code-->
<DisplayControl Id="totpQrCodeControl" UserInterfaceControlType="QrCodeControl">
<InputClaims>
<InputClaim ClaimTypeReferenceId="qrCodeContent" />
</InputClaims>
<DisplayClaims>
<DisplayClaim ClaimTypeReferenceId="qrCodeContent" ControlClaimType="QrCodeContent" />
</DisplayClaims>
</DisplayControl>
<!-- Render the TOTP information by taking the totpIdentifier and the secretKey input claims and rendering them in plain text-->
<DisplayControl Id="authenticatorInfoControl" UserInterfaceControlType="AuthenticatorInfoControl">
<InputClaims>
<InputClaim ClaimTypeReferenceId="totpIdentifier" />
<InputClaim ClaimTypeReferenceId="secretKey" />
</InputClaims>
<DisplayClaims>
<DisplayClaim ClaimTypeReferenceId="totpIdentifier" />
<DisplayClaim ClaimTypeReferenceId="secretKey" />
</DisplayClaims>
</DisplayControl>
<!-- Render the authenticator apps icon. -->
<DisplayControl Id="authenticatorAppIconControl" UserInterfaceControlType="AuthenticatorAppIconControl" />
</DisplayControls>
Os controles de exibição são referenciados de um perfil técnico autodeclarado. O perfil técnico autodeclarado usa a transformação declarações de entrada para preparar as declarações necessárias qrCodeContent e secretKey de entrada.
As transformações de declarações de entrada devem ser chamadas na seguinte ordem:
- O
CreateSecrettipo de transformação de declarações de CreateOtpSecret. A transformação de declarações cria uma chave secreta TOTP. Essa chave é armazenada posteriormente no perfil do usuário no Azure AD B2C e é compartilhada com o aplicativo autenticador. O aplicativo autenticador usa a chave para gerar um código TOTP que o usuário precisa para passar pela MFA. Sua política personalizada usa a chave para validar o código TOTP fornecido pelo usuário. - O
CreateIssuertipo de transformação de declarações de CreateStringClaim. A transformação de declarações cria o nome do emissor TOTP. O nome do emissor é o nome do locatário, como "Demonstração da Contoso". - O
CreateUriLabeltipo de transformação de declarações de FormatStringMultipleClaims. A transformação de declarações cria o rótulo de URI TOTP. O rótulo é uma combinação do identificador exclusivo do usuário, como o endereço de email, e o nome do emissor, por exemplo,Contoso demo:emily@fabrikam.com. - O
CreateUriStringtipo de transformação de declarações do BuildUri. A transformação declarações cria a cadeia de caracteres de URI TOTP. A cadeia de caracteres é uma combinação do rótulo de URI e da chave secreta, por exemplo,otpauth://totp/Contoso%20demo:emily@fabrikam.com?secret=fay2lj7ynpntjgqa&issuer=Contoso+demo. Esse rótulo de URI é renderizado pelo controle de exibição em um formato de código QR e um link profundo.
O código XML a seguir mostra o EnableOTPAuthentication perfil técnico autodeclarado com sua transformação de declarações de entrada, declarações de entrada e controles de exibição.
<TechnicalProfile Id="EnableOTPAuthentication">
<DisplayName>Sign up with Authenticator app</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.SelfAssertedAttributeProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
<Metadata>
<Item Key="ContentDefinitionReferenceId">api.selfasserted.totp</Item>
<Item Key="language.button_continue">Continue</Item>
</Metadata>
<CryptographicKeys>
<Key Id="issuer_secret" StorageReferenceId="B2C_1A_TokenSigningKeyContainer" />
</CryptographicKeys>
<InputClaimsTransformations>
<InputClaimsTransformation ReferenceId="CreateSecret" />
<InputClaimsTransformation ReferenceId="CreateIssuer" />
<InputClaimsTransformation ReferenceId="CreateUriLabel" />
<InputClaimsTransformation ReferenceId="CreateUriString" />
</InputClaimsTransformations>
<InputClaims>
<InputClaim ClaimTypeReferenceId="qrCodeContent" />
<InputClaim ClaimTypeReferenceId="secretKey" />
</InputClaims>
<DisplayClaims>
<DisplayClaim DisplayControlReferenceId="authenticatorAppIconControl" />
<DisplayClaim ClaimTypeReferenceId="QrCodeScanInstruction" />
<DisplayClaim DisplayControlReferenceId="totpQrCodeControl" />
<DisplayClaim DisplayControlReferenceId="authenticatorInfoControl" />
</DisplayClaims>
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="objectId" />
<OutputClaim ClaimTypeReferenceId="secretKey" />
</OutputClaims>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-MFA-TOTP" />
</TechnicalProfile>
Fluxo de verificação
O código TOTP de verificação é feito por outro perfil técnico autodeclarado que usa declarações de exibição e um perfil técnico de validação. Para obter mais informações, consulte Definir um perfil técnico de autenticação multifator do Microsoft Entra ID em uma política personalizada do Azure AD B2C.
A captura de tela a seguir ilustra uma página de verificação TOTP.
Próximas etapas
Saiba mais sobre a autenticação multifator em Habilitar autenticação multifator no Azure Active Directory B2C
Saiba como validar um código TOTP em Definir um perfil técnico de autenticação multifator do Microsoft Entra ID.
Explore um exemplo de MFA do Azure AD B2C com TOTP usando qualquer política personalizada do aplicativo Authenticator no GitHub.