Partilhar via

Tutorial: Configurar a ID móvel da IDEMIA com o Azure Ative Directory B2C

Importante

A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais nas nossas Perguntas Frequentes.

Antes de começar

O Azure Ative Directory B2C (Azure AD B2C) tem dois métodos para definir a interação dos usuários com aplicativos: fluxos de usuário predefinidos ou políticas personalizadas configuráveis. Consulte a secção Visão geral de fluxos de utilizadores e políticas personalizadas

Integrar o Azure AD B2C com o IDEMIA Mobile ID

A IDEMIA fornece serviços de autenticação biométrica, como identificação facial e impressão digital, o que reduz fraudes e reutilização de credenciais. Com o Mobile ID, os cidadãos beneficiam de uma ID digital fidedigna emitida pelo governo, como complemento à sua ID física. O Mobile ID verifica a identidade usando um PIN, um touch ID ou um face ID autoselecionados. Os cidadãos controlam as suas identidades através da partilha das informações necessárias para uma transação. Muitos departamentos estaduais de veículos automotores (DMVs) usam Mobile ID.

Para saber mais, acesse idemia.com: IDEMIA

Descrição do cenário

A integração com o Mobile ID inclui os seguintes componentes:

  • Azure AD B2C – servidor de autorização que verifica as credenciais do usuário
    • Também é conhecido como provedor de identidade (IdP)
  • IDEMIA Mobile ID - Provedor OpenID Connect (OIDC) configurado como um provedor externo do Azure AD B2C
    • Veja como adicionar um provedor de identidade ao locatário do Azure AD B2C
  • Aplicativo IDEMIA Mobile ID - uma versão digital de uma carteira de motorista, ou ID emitida pelo estado, em um aplicativo em seu telefone

Mobile ID é um documento de identificação digitalizado, um token de identidade móvel portátil que os DMVs usam para verificar identidades individuais. O ID digitalizado assinado é armazenado nos telemóveis do utilizador como uma identidade na periferia. As credenciais assinadas facilitam o acesso a serviços de identidade, como comprovante de idade, conhecimento financeiro do cliente, acesso à conta, etc.

O diagrama a seguir ilustra os fluxos de usuário de inscrição e entrada com Mobile ID.

Diagrama dos fluxos de usuário de inscrição e login com Mobile ID.

  1. O usuário visita a página de entrada do Azure AD B2C (a parte respondente), com seu dispositivo e ID móvel, para realizar uma transação.
  2. O Azure AD B2C executa uma verificação de ID. Ele redireciona o usuário para o roteador IDEMIA com um fluxo de código de autorização OIDC.
  3. O roteador envia um desafio biométrico para o aplicativo móvel do usuário com detalhes de solicitação de autenticação e autorização.
  4. Dependendo da segurança, o usuário pode ser solicitado a fornecer mais detalhes: insira um PIN, tire uma selfie ao vivo ou ambos.
  5. A resposta de autenticação fornece prova de posse, presença e consentimento. A resposta retorna ao roteador.
  6. O roteador verifica as informações do usuário e responde ao Azure AD B2C com o resultado.
  7. O acesso é concedido ou negado ao usuário.

Ativar Mobile ID

Para começar, vá para a página idemia.com Entrar em contato para solicitar uma demonstração. No campo de texto do formulário de solicitação, indique seu interesse na integração do Azure AD B2C.

Integrar o Mobile ID com o Azure AD B2C

Use as seções a seguir para preparar e executar processos de integração.

Pré-requisitos

Para começar, você precisa:

  • Acesso a utilizadores com uma credencial de Mobile ID (mID) emitida por um estado dos EUA

    • Ou, durante a fase de teste, o aplicativo de demonstração mID da IDEMIA

  • Uma assinatura do Azure

  • Um locatário do Azure AD B2C vinculado à assinatura do Azure

  • Seu aplicativo Web de negócios registrado em um locatário do Azure AD B2C

    • Para teste, configure https://jwt.ms, uma aplicação Web da Microsoft com conteúdo de token decodificado

    Observação

    O conteúdo do token não sai do seu navegador.

Enviar um aplicativo de terceira parte confiável para mID

Durante a integração do Mobile ID, as seguintes informações são fornecidas.

Propriedade Descrição
Nome da Aplicação Azure AD B2C ou outro nome de aplicativo
ID_do_Cliente O identificador exclusivo do provedor de identidade (IdP)
Segredo do Cliente Senha que o aplicativo de terceira parte confiável usa para autenticar com o IDEMIA IdP
Ponto de extremidade de metadados Uma URL aponta para um documento de configuração do emissor de token, também conhecido como um endpoint conhecido de configuração do OpenID.
URIs de Redirecionamento https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp
Por exemplo, https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp

Se utilizar um domínio personalizado, introduza https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp.
URIs de redirecionamento pós-saída https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/{policy}/oauth2/v2.0/logout
Envie uma solicitação de logout.

Observação

Você precisará da ID do Cliente e do Segredo do Cliente posteriormente para configurar o IdP no Azure AD B2C.

Criar uma chave de política

Armazene o Secreto do Cliente IDEMIA anotado no seu tenant do Azure AD B2C. Para as instruções a seguir, use o diretório associado ao seu inquilino do Azure AD B2C.

  1. Inicie sessão no portal Azure.
  2. Na barra de ferramentas do portal, selecione Diretórios + assinaturas.
  3. Na página Configurações do portal, Diretórios + assinaturas , na lista Nome do diretório , localize seu diretório do Azure AD B2C
  4. Selecione Trocar.
  5. No canto superior esquerdo do portal do Azure, selecione Todos os serviços.
  6. Procure e selecione Azure AD B2C.
  7. Na página Visão geral , selecione Identity Experience Framework.
  8. Selecione Chaves de política.
  9. Selecione Adicionar.
  10. Para as Opções , escolha Manual .
  11. Insira um Nome para a chave da política. Por exemplo, IdemiaAppSecret. O prefixo B2C_1A_ é adicionado ao nome da chave.
  12. Em Secreto, insira o Segredo do Cliente que anotaste.
  13. Para Uso da chave , selecione Assinatura.
  14. Selecione Criar.

Configurar o Mobile ID como um IdP externo

Para permitir que os usuários entrem com o Mobile ID, defina a IDEMIA como um provedor de declarações. Essa ação garante que o Azure AD B2C se comunique por meio de um endpoint, que fornece claims que o Azure AD B2C usa para verificar a autenticação do utilizador com biometria.

Para definir a IDEMIA como um provedor de declarações, adicione-a ao elemento ClaimsProvider no arquivo de extensão de política.

     <TechnicalProfile Id="Idemia-Oauth2">
          <DisplayName>IDEMIA</DisplayName>
          <Description>Login with your IDEMIA identity</Description>
          <Protocol Name="OAuth2" />
          <Metadata>
            <Item Key="METADATA">https://idp.XXXX.net/oxauth/.well-known/openid-configuration</Item>
            <!-- Update the Client ID below to the Application ID -->
            <Item Key="client_id">00001111-aaaa-2222-bbbb-3333cccc4444</Item>
            <Item Key="response_types">code</Item>
            <Item Key="scope">openid id_basic mt_scope</Item>
            <Item Key="response_mode">form_post</Item>
            <Item Key="HttpBinding">POST</Item>
            <Item Key="UsePolicyInRedirectUri">false</Item>
            <Item Key="token_endpoint_auth_method">client_secret_basic</Item>
            <Item Key="ClaimsEndpoint">https://idp.XXXX.net/oxauth/restv1/userinfo</Item>
            <Item Key="ValidTokenIssuerPrefixes">https://login.microsoftonline.com/</Item>
          </Metadata>
          <CryptographicKeys>
            <Key Id="client_secret" StorageReferenceId="B2C_1A_IdemiaAppSecret" />
</CryptographicKeys>
          <InputClaims>
            <InputClaim ClaimTypeReferenceId="acr" PartnerClaimType="acr_values" DefaultValue="loa-2" />
          </InputClaims>
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
            <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" />
            <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="firstName1" />
            <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="lastName1" />
            <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
            <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="idemia" />
            <OutputClaim ClaimTypeReferenceId="documentId" />
            <OutputClaim ClaimTypeReferenceId="address1" />
          </OutputClaims>
          <OutputClaimsTransformations>
            <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
            <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
            <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
            <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
          </OutputClaimsTransformations>
          <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
        </TechnicalProfile>

Defina client_id para o ID do aplicativo a partir do registro do aplicativo.

Propriedade Descrição
Âmbito de aplicação Para OpenID Connect (OIDC), o requisito mínimo é definir o parâmetro scope como openid. Acrescentar mais escopos como uma lista delimitada por espaço.
uri_de_redirecionamento Esse local é onde o agente do usuário envia o código de autorização para o Azure AD B2C.
tipo_de_resposta Para o fluxo de código de autorização, selecione code
acr_values Este parâmetro controla os métodos de autenticação que o usuário deve executar durante a autenticação.

Selecione um dos seguintes valores:

Valor do parâmetro Efeito no processo de autenticação do usuário
loa-2 Autenticação multifator da Microsoft Entra baseada em criptografia somente
loa-3 MFA baseada em criptomoedas, além de outro fator
loa-4 MFA baseada em criptografia, além de o utilizador realizar PIN e autenticação biométrica

O endpoint /userinfo fornece as declarações para os escopos solicitados no pedido de autorização. Por mt_scope<>, há dados como Nome, Apelido e Número da Carta de Condução, entre outros itens. As declarações definidas para um escopo são publicadas na seção scope_to_claims_mapping da API de descoberta. O Azure AD B2C solicita declarações do endpoint de claims e as retorna no elemento OutputClaims. Talvez seja necessário mapear o nome da declaração em sua política para o nome no IdP. Defina o tipo de declaração no elemento ClaimSchema:

<ClaimType Id="documentId">
     <DisplayName>documentId</DisplayName>
     <DataType>string</DataType>
</ClaimType>
<ClaimType Id="address1">
     <DisplayName>address</DisplayName>
     <DataType>string</DataType>
</ClaimType>

Adicionar uma jornada do utilizador

Para estas instruções, o IdP está configurado, mas não está em nenhuma página de login. Se não tens um percurso de utilizador personalizado, copia um percurso de utilizador de modelo.

  1. No pacote inicial, abra o arquivo TrustFrameworkBase.xml.
  2. Localize o conteúdo do elemento UserJourneys e copie-o, incluindo ID=SignUpOrSignIn.
  3. Abra o TrustFrameworkExtensions.xml.
  4. Localize o elemento UserJourneys. Se não houver nenhum elemento, adicione um.
  5. Cole o conteúdo do elemento UserJourney como um filho do elemento UserJourneys.
  6. Renomeie o ID da jornada do usuário. Por exemplo, ID=CustomSignUpSignIn.

Adicionar o IdP a um percurso do utilizador

Se houver um percurso do utilizador, adicione o novo IdP ao percurso. Primeiro, adicione um botão de entrada e, em seguida, vincule-o a uma ação, que é o perfil técnico que você criou.

  1. Na jornada do usuário, localize o elemento da etapa de orquestração com Type=CombinedSignInAndSignUpou Type=ClaimsProviderSelection. Geralmente é o primeiro passo da orquestração. O elemento ClaimsProviderSelections tem uma lista de IdP que os utilizadores usam para iniciar sessão. A ordem dos controles de elementos é a ordem dos botões de entrada que o usuário vê.
  2. Adicione um ClaimsProviderSelection elemento XML.
  3. Defina o valor de TargetClaimsExchangeId como um nome amigável.
  4. Adicione um elemento ClaimsExchange .
  5. Defina o Id como o valor do ID de troca de declarações de destino.
  6. Atualize o valor TechnicalProfileReferenceId para o ID do perfil técnico que você criou.

O XML a seguir demonstra as duas primeiras etapas de orquestração de uma jornada do usuário com o IdP:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="IdemiaExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="IdemiaExchange" TechnicalProfileReferenceId="Idemia-Oauth2" />
  </ClaimsExchanges>
</OrchestrationStep>

Configurar a política da parte confiadora

A política da parte confiável, por exemplo, SignUpSignIn.xml, especifica a jornada do utilizador que o Azure AD B2C executa.

  1. Encontre o elemento DefaultUserJourney na parte confiável.
  2. Atualize o ReferenceId para corresponder ao ID do percurso do utilizador, no qual adicionou o IdP.

No exemplo a seguir, para a jornada do CustomSignUpOrSignIn usuário, o ReferenceId é definido como CustomSignUpOrSignIn.

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Carregar a política personalizada

Para as instruções a seguir, use o diretório associado ao seu inquilino do Azure AD B2C.

  1. Inicie sessão no portal Azure.

  2. Na barra de ferramentas do portal, selecione o Diretórios + Subscrições.

  3. Na página Configurações do portal, Diretórios + assinaturas , na lista Nome do diretório , localize o diretório do Azure AD B2C.

  4. Selecione Trocar.

  5. No portal do Azure, procure e selecione Azure AD B2C.

  6. Em Políticas, selecione Identity Experience Framework.

  7. Selecione Carregar política personalizada.

  8. Carregue os dois arquivos de política que você alterou, na seguinte ordem:

    • A política de extensão, como por exemplo TrustFrameworkExtensions.xml
    • A política da parte confiante, como SignUpSignIn.xml

Testar sua política personalizada

  1. Selecione sua política de terceira parte confiável, por exemplo B2C_1A_signup_signin.
  2. Para Application, selecione um aplicativo Web que você registrou.
  3. https://jwt.msaparece em URL de resposta.
  4. Selecione Executar agora.
  5. Na página de inscrição ou login, selecione IDEMIA.
  6. O navegador é redirecionado para https://jwt.ms. Consulte o conteúdo do token retornado pelo Azure AD B2C.

Saiba mais: Tutorial: Registrar um aplicativo Web no Azure AD B2C

Próximos passos

  • Last updated on