Compartilhar via

Configurar a inscrição e a entrada com a ID móvel usando o Azure Active Directory B2C

Importante

A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais em nossas perguntas frequentes.

Antes de começar, use o seletor Escolha um tipo de política na parte superior dessa página para escolher o tipo de política que você está configurando. O Azure Active Directory B2C oferece dois métodos para definir como os usuários interagem com seus aplicativos: por meio de fluxos de usuários predefinidos ou por meio de políticas personalizadas totalmente configuráveis. As etapas necessárias neste artigo são diferentes para cada método.

Neste artigo, você aprenderá a fornecer inscrição e entrada aos clientes com id móvel em seus aplicativos usando o Azure AD B2C (Azure Active Directory B2C). A solução de ID Móvel protege o acesso a dados e aplicativos da sua empresa com uma solução abrangente de ponta a ponta para uma MFA (autenticação multifator) forte. Adicione a ID móvel aos fluxos de usuário ou à política personalizada usando o protocolo OpenID Connect.

Pré-requisitos

Criar um aplicativo de ID Móvel

Para habilitar a entrada de usuários com ID móvel no Azure AD B2C, você precisa criar um aplicativo. Para criar um aplicativo de ID Móvel, siga estas etapas:

  1. Entre em contato com o suporte a ID móvel.

  2. Forneça ao Mobile ID as informações sobre seu locatário do Azure AD B2C.

    Chave Observação
    URI de redirecionamento Forneça o URI https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp. Se você usa um domínio personalizado, insira https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp. Substitua your-tenant-name pelo nome do locatário e your-domain-name pelo nome do domínio personalizado.
    Método de autenticação de ponto de extremidade de token client_secret_post

  3. Depois que o aplicativo for registrado, as informações a seguir serão fornecidas pela ID móvel. Use essas informações para configurar o fluxo do usuário ou a política personalizada.

    Chave Observação
    ID do cliente O ID de cliente do Mobile ID Por exemplo, 00001111-aaaa-2222-bbbb-3333cccc4444.
    Segredo de Cliente O segredo do cliente da ID móvel.

Configurar a Identidade Móvel como um provedor de identidade

  1. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas.

  2. Escolha Todos os serviços no canto superior esquerdo do Portal do Azure, pesquise Azure AD B2C e selecione-o.

  3. Selecione provedores de identidade e, em seguida, selecione Novo provedor OpenID Connect.

  4. Insira um Nome. Por exemplo, insira a ID móvel.

  5. Para URL de metadados, insira o ponto de extremidade de configuração OpenId conhecido da ID móvel. Por exemplo:

    https://openid.mobileid.ch/.well-known/openid-configuration

  6. Para ID do Cliente, insira o ID do Cliente Móvel.

  7. Para segredo do cliente, insira o segredo do cliente Mobile ID.

  8. No Escopo, insira o openid, profile, phone, mid_profile.

  9. Deixe os valores padrão para o tipo de resposta (code) e o modo de resposta (form_post).

  10. (Opcional) Em Dica de domínio, insira mobileid.ch. Para obter mais informações, confira Configurar entrada direta usando o Azure Active Directory B2C.

  11. No mapeamento de declarações do provedor de identidade, selecione as seguintes declarações:

    • ID do usuário: sub
    • Nome de exibição: nome

  12. Clique em Salvar.

Adicionar o provedor de identidade de ID móvel a um fluxo de usuário

Neste ponto, o provedor de identidade da ID móvel foi configurado, mas ainda não está disponível em nenhuma das páginas de entrada. Para adicionar o provedor de identidade de ID Móvel a um fluxo de usuário:

  1. No locatário do Azure AD B2C, selecione Fluxos dos usuários.
  2. Selecione o fluxo de usuário que você deseja adicionar ao provedor de identidade de ID móvel.
  3. Nos provedores de identidade social, selecione ID móvel.
  4. Clique em Salvar.
  5. Para testar a política, selecione Executar fluxo de usuário.
  6. Em Aplicativo, selecione o aplicativo Web denominado testapp1 registrado anteriormente. A URL de resposta deve mostrar https://jwt.ms.
  7. Selecione o botão Executar fluxo de usuário.
  8. Na página de inscrição ou entrada, selecione ID móvel para entrar com a ID móvel.

Se o processo de entrada for bem-sucedido, seu navegador será redirecionado para https://jwt.ms, que exibe o conteúdo do token retornado pelo Azure AD B2C.

Criar uma chave de política

Você precisa armazenar o segredo do cliente que recebeu da ID móvel no seu locatário do Azure AD B2C.

  1. Entre no portal do Azure.
  2. Verifique se você está usando o diretório que contenha seu locatário do Azure AD B2C. Selecione o filtro Diretório + assinatura no menu superior e escolha o diretório que contém seu locatário.
  3. Escolha Todos os serviços no canto superior esquerdo do Portal do Azure, pesquise Azure AD B2C e selecione-o.
  4. Na página Visão geral, selecione Identity Experience Framework.
  5. Selecione Chaves de Política e, em seguida, selecione Adicionar.
  6. Para Opções, escolha Manual.
  7. Insira um Nome para a chave de política. Por exemplo, Mobile IDSecret. O prefixo B2C_1A_ é adicionado automaticamente ao nome da chave.
  8. Em Segredo, insira o segredo do cliente da ID móvel.
  9. Para uso de chave, selecione Signature.
  10. Selecione Criar.

Configurar a Identidade Móvel como um provedor de identidade

Para permitir que os usuários entrem usando uma ID móvel, você precisa definir a ID móvel como um provedor de declarações com o qual o Azure AD B2C pode se comunicar por meio de um ponto de extremidade. O endpoint fornece um conjunto de declarações usadas pelo Azure AD B2C para verificar a autenticação de um usuário específico.

Você pode definir uma ID móvel como um provedor de declarações adicionando-a ao elemento ClaimsProviders no arquivo de extensão da política.

  1. Abra TrustFrameworkExtensions.xml.

  2. Localize o elemento ClaimsProviders. Se ele não existir, adicione-o sob o elemento raiz.

  3. Adicione um novo ClaimsProvider da seguinte maneira:

    <ClaimsProvider>
<Domain>mobileid.ch</Domain>
<DisplayName>Mobile-ID</DisplayName>
<TechnicalProfiles>
  <TechnicalProfile Id="MobileID-OAuth2">
  <DisplayName>Mobile-ID</DisplayName>
  <Protocol Name="OAuth2" />
  <Metadata>
    <Item Key="ProviderName">Mobile-ID</Item>
     <Item Key="authorization_endpoint">https://m.mobileid.ch/oidc/authorize</Item>
      <Item Key="AccessTokenEndpoint">https://openid.mobileid.ch/token</Item>
      <Item Key="ClaimsEndpoint">https://openid.mobileid.ch/userinfo</Item>
      <Item Key="scope">openid, profile, phone, mid_profile</Item>
      <Item Key="HttpBinding">POST</Item>
      <Item Key="UsePolicyInRedirectUri">false</Item>
      <Item Key="token_endpoint_auth_method">client_secret_post</Item>
      <Item Key="BearerTokenTransmissionMethod">AuthorizationHeader</Item>
      <Item Key="client_id">Your application ID</Item>
    </Metadata>
    <CryptographicKeys>
      <Key Id="client_secret" StorageReferenceId="B2C_1A_MobileIdSecret" />
    </CryptographicKeys>
    <OutputClaims>
      <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub"/>
      <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name"/>
      <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="mobileid.ch" />
      <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
    </OutputClaims>
    <OutputClaimsTransformations>
      <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
      <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
      <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
      <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
    </OutputClaimsTransformations>
    <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

  4. Defina client_id para o ID de cliente do Mobile ID.

  5. Salve o arquivo.

Adicione um percurso de usuário

Neste ponto, o provedor de identidade foi configurado, mas ainda não está disponível em nenhuma das páginas de entrada. Se você não tiver seu próprio percurso de usuário personalizado, crie a duplicata de um percurso de usuário de um modelo existente; caso contrário, passe para a próxima etapa.

  1. Abra o arquivo TrustFrameworkBase.xml do starter pack.
  2. Localize e copie todo o conteúdo do elemento UserJourney que inclui Id="SignUpOrSignIn".
  3. Abra o TrustFrameworkExtensions.xml e localize o elemento UserJourneys. Se o elemento não existir, adicione um.
  4. Cole todo o conteúdo do elemento UserJourney que você copiou como filho do elemento UserJourneys.
  5. Renomeie a ID do percurso de usuário. Por exemplo, Id="CustomSignUpSignIn".

Adicione o provedor de identidade a um percurso de usuário

Agora que você tem um percurso de usuário, adicione a ele o novo provedor de identidade. Primeiro, adicione um botão de entrada e, em seguida, vincule o botão a uma ação. A ação é o perfil técnico criado anteriormente.

  1. No percurso de usuário, localize o elemento da etapa de orquestração que inclui Type="CombinedSignInAndSignUp" ou Type="ClaimsProviderSelection". Normalmente é a primeira etapa de orquestração. O elementoClaimsProviderSelectionscontém uma lista de provedores de identidade que um usuário pode usar para se conectar. A ordem dos elementos controla a ordem dos botões de entrada apresentados para o usuário. Adicione um elemento XML ClaimsProviderSelection. Defina o valor de TargetClaimsExchangeId com um nome amigável.

  2. Na próxima etapa de orquestração, adicione um elemento ClaimsExchange. Defina a ID como o valor da ID de troca de declarações de destino. Atualize o valor de TechnicalProfileReferenceId para a ID do perfil técnico você já criou.

O XML a seguir demonstra as duas primeiras etapas de orquestração de um percurso do usuário com o provedor de identidade:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="MobileIDExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="MobileIDExchange" TechnicalProfileReferenceId="MobileID-OAuth2" />
  </ClaimsExchanges>
</OrchestrationStep>

Configurar a política de terceira parte confiável

A política de terceira parte confiável, por exemplo SignUpSignIn.xml, especifica a jornada do usuário que o Azure AD B2C será executado. Localize o elemento DefaultUserJourney na terceira parte confiável. Atualize a ReferenceId para corresponder à ID do percurso do usuário, na qual você adicionou o provedor de identidade.

No exemplo a seguir, para o percurso do CustomSignUpSignIn usuário, o ReferenceId é definido como CustomSignUpSignIn:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Carregar a política personalizada

  1. Entre no portal do Azure.
  2. Selecione o ícone Diretório + Assinatura na barra de ferramentas do portal e selecione o diretório que contém o locatário do Azure AD B2C.
  3. No portal do Azure, pesquise e selecione Azure AD B2C.
  4. Em Políticas, selecione Identity Experience Framework.
  5. Selecione Carregar política personalizadae, em seguida, carregue os dois arquivos de política que você alterou, na seguinte ordem: a política de extensão, por exemplo TrustFrameworkExtensions.xml, a política de terceira parte confiável, como SignUpSignIn.xml.

Testar sua política personalizada

  1. Selecione a política de terceira parte confiável, por exemplo, B2C_1A_signup_signin.
  2. Em Aplicativo, selecione o aplicativo Web que você registrou anteriormente. A URL de resposta deve mostrar https://jwt.ms.
  3. Clique no botão Executar agora.
  4. Na página de inscrição ou entrada, selecione ID móvel para entrar com a ID móvel.

Se o processo de entrada for bem-sucedido, seu navegador será redirecionado para https://jwt.ms, que exibe o conteúdo do token retornado pelo Azure AD B2C.

Próximas etapas

Saiba como passar o token de ID móvel para seu aplicativo.

  • Last updated on