Delen via

Verificatie configureren in een Android-voorbeeld-app met behulp van Azure AD B2C

Belangrijk

Vanaf 1 mei 2025 is Azure AD B2C niet meer beschikbaar voor nieuwe klanten. Meer informatie vindt u in onze veelgestelde vragen.

In dit artikel wordt gebruikgemaakt van een Android-voorbeeldtoepassing (Kotlin en Java) om te laten zien hoe u Verificatie van Azure Active Directory B2C (Azure AD B2C) toevoegt aan uw mobiele apps.

Overzicht

OpenID Connect (OIDC) is een verificatieprotocol dat is gebaseerd op OAuth 2.0. U kunt OIDC gebruiken om gebruikers veilig aan te melden bij een toepassing. Dit voorbeeld van een mobiele app maakt gebruik van de MICROSOFT Authentication Library (MSAL) met de PKCE-stroom van de OIDC-autorisatiecode. De MSAL is een door Microsoft geleverde bibliotheek die het toevoegen van verificatie- en autorisatieondersteuning aan mobiele apps vereenvoudigt.

De aanmeldingsstroom omvat de volgende stappen:

  1. Gebruikers openen de app en selecteren aanmelden.
  2. De app opent de systeembrowser van het mobiele apparaat en start een verificatieaanvraag voor Azure AD B2C.
  3. Gebruikers registreren of zich aanmelden, het wachtwoord opnieuw instellen of zich aanmelden met een sociaal account.
  4. Nadat gebruikers zich hebben aangemeld, retourneert Azure AD B2C een autorisatiecode naar de app.
  5. De app voert de volgende acties uit:
    1. De autorisatiecode wordt uitgewisseld naar een id-token, toegangstoken en vernieuwingstoken.
    2. De id-tokenclaims worden gelezen.
    3. De tokens worden opgeslagen in een cache in het geheugen voor later gebruik.

Overzicht van app-registratie

Als u wilt dat uw app zich aanmeldt met Azure AD B2C en een web-API aanroept, registreert u twee toepassingen in de Azure AD B2C-directory.

  • Met de registratie van mobiele toepassingen kan uw app zich aanmelden met Azure AD B2C. Geef tijdens de app-registratie de omleidings-URI op. De omleidings-URI is het eindpunt waarnaar gebruikers worden omgeleid door Azure AD B2C nadat ze zijn geverifieerd met Azure AD B2C. Het app-registratieproces genereert een toepassings-id, ook wel de client-id genoemd, waarmee uw mobiele app uniek wordt geïdentificeerd (bijvoorbeeld app-id: 1).

  • Met de web-API-registratie kan uw app een beveiligde web-API aanroepen. De registratie toont de web-API-machtigingen (bereiken). Het app-registratieproces genereert een toepassings-id, die uw web-API uniek identificeert (bijvoorbeeld app-id: 2). Verken uw mobiele app (app-id: 1) machtigingen voor de web-API-bereiken (app-id: 2).

De app-registratie en toepassingsarchitectuur worden geïllustreerd in de volgende diagrammen:

Diagram van de mobiele app met registraties en tokens voor web-API-aanroepen.

Aanroepen naar een web-API

Nadat de verificatie is voltooid, communiceren gebruikers met de app, die een beveiligde web-API aanroept. De web-API maakt gebruik van verificatie via een Bearer-token. Het Bearer-token is het toegangstoken dat de app van Azure AD B2C heeft gekregen. De app geeft het token door in de autorisatieheader van de HTTPS-aanvraag.

Authorization: Bearer <access token>

Als het bereik van het toegangstoken niet overeenkomt met de bereiken van de web-API, verkrijgt de verificatiebibliotheek een nieuw toegangstoken met de juiste bereiken.

Het afmeldproces

De afmeldingsstroom omvat de volgende stappen:

  1. Gebruikers melden zich af vanuit de app.
  2. De app wist de sessieobjecten en de verificatiebibliotheek wist de token-cache.
  3. De app brengt gebruikers naar het afmeldingseindpunt van Azure AD B2C om de Azure AD B2C-sessie te beëindigen.
  4. Gebruikers worden teruggeleid naar de app.

Vereiste voorwaarden

Een computer met:

Stap 1: Uw gebruikersstroom configureren

Wanneer gebruikers zich proberen aan te melden bij uw app, start de app een verificatieaanvraag naar het autorisatie-eindpunt via een gebruikersstroom. De gebruikersstroom definieert en bepaalt de gebruikerservaring. Nadat gebruikers de gebruikersstroom hebben voltooid, genereert Azure AD B2C een token en leidt het gebruikers vervolgens terug naar de toepassing.

Maak een gebruikersstroom of een aangepast beleid als u dit nog niet hebt gedaan. Herhaal de stappen om de volgende drie afzonderlijke gebruikersstromen te maken:

  • Een gecombineerde gebruikersstroom voor aanmelden en registreren, zoals susi. Deze gebruikersstroom ondersteunt ook de ervaring Wachtwoord vergeten.
  • Een gebruikersstroom voor profielbewerking, zoals edit_profile.
  • Een gebruikersstroom voor Wachtwoord opnieuw instellen, zoals reset_password.

Azure AD B2C voegt B2C_1_ aan de naam van de gebruikersstroom toe. susi wordt bijvoorbeeld B2C_1_susi.

Stap 2: Mobiele toepassingen registreren

Maak de registratie van de mobiele app en web-API-toepassing en geef de bereiken van uw web-API op.

Stap 2.1: De web-API-app registreren

Voer de volgende stappen uit om de web-API-app (app-id: 2) te registreren:

  1. Meld u aan bij het Azure-portaal.

  2. Zorg ervoor dat u de map gebruikt die uw Azure AD B2C-tenant bevat. Selecteer op de portalwerkbalk het pictogram Mappen + abonnementen.

  3. Ga op de pagina Portalinstellingen | Directory's en abonnementen naar uw Azure AD B2C-directory in de lijst Directorynaam en selecteer vervolgens Wisselen.

  4. Zoek en selecteer Azure AD B2C in de Azure-portal.

  5. Selecteer App-registraties en selecteer vervolgens Nieuwe registratie.

  6. Voer bij Naam een naam in voor de toepassing (bijvoorbeeld my-api1). Laat de standaardwaarden voor omleidings-URI en ondersteunde accounttypen staan.

  7. Selecteer Registreren.

  8. Nadat de app-registratie is voltooid, selecteert u Overzicht.

  9. Noteer voor later gebruik de waarde van de toepassings-id (client) wanneer u de webtoepassing configureert.

    Schermopname waarin wordt getoond hoe u een web-API-toepassings-id kunt krijgen.

Stap 2.2: Web-API-app-scopes configureren

  1. Selecteer de my-api1-toepassing die u hebt gemaakt (app-id: 2) om de overzichtspagina te openen.

  2. Selecteer onder Behereneen API beschikbaar maken.

  3. Selecteer naast URI voor de toepassings-id de link Instellen. Vervang de standaardwaarde (GUID) door een unieke naam (bijvoorbeeld tasks-api) en selecteer Opslaan.

    Wanneer uw webtoepassing een toegangstoken voor de web-API aanvraagt, moet deze URI als voorvoegsel worden toegevoegd voor elk bereik dat u voor de API definieert.

  4. Selecteer onder bereiken die zijn gedefinieerd door deze APIde optie Een bereik toevoegen.

  5. Een bereik maken dat de leestoegang tot de API definieert:

    1. Voer voor Bereiknaamtasks.read in.
    2. Voer voor Weergavenaam beheerderstoestemmingLeestoegang tot de Tasks-API in.
    3. Voer voor Beschrijving beheerderstoestemmingStaat leestoegang tot de taken-API toe in.

  6. Selecteer Voeg bereik toe.

  7. Selecteer Bereik toevoegen en voeg vervolgens een bereik toe dat de schrijftoegang tot de API definieert:

    1. Voer voor Bereiknaamtasks.write in.
    2. Voer voor Weergavenaam van de beheerderstoestemming de schrijftoegang tot de Tasks-API in.
    3. Voer bij Beschrijving beheerderstoestemming in: geeft schrijftoegang tot de taken-API.

  8. Selecteer Voeg bereik toe.

Stap 2.3: De mobiele app registreren

Ga als volgt te werk om de registratie van de mobiele app te maken:

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer App-registraties en selecteer vervolgens Nieuwe registratie.

  3. Voer onder Naam een naam in voor de toepassing (bijvoorbeeld android-app1).

  4. Selecteer onder Ondersteunde accounttypenAccounts in een id-provider of organisatiemap (voor verificatie van gebruikers met gebruikersstromen).

  5. Selecteer onder Omleidings-URIopenbare client/systeemeigen (mobiel en desktop) en voer vervolgens in het URL-vak een van de volgende URI's in:

    • Voor het Kotlin-voorbeeld: msauth://com.azuresamples.msalandroidkotlinapp/1wIqXSqBj7w%2Bh11ZifsnqwgyKrY%3D
    • Voor het Java-voorbeeld: msauth://com.azuresamples.msalandroidapp/1wIqXSqBj7w%2Bh11ZifsnqwgyKrY%3D

  6. Selecteer Registreren.

  7. Nadat de app-registratie is voltooid, selecteert u Overzicht.

  8. Noteer de toepassings-id (client) voor later gebruik wanneer u de mobiele toepassing configureert.

    Schermopname met de android-toepassings-id gemarkeerd

Stap 2.4: De mobiele app machtigingen verlenen voor de web-API

Voer de volgende stappen uit om uw app (app-id: 1) machtigingen te verlenen:

  1. Selecteer App-registraties en selecteer vervolgens de app die u hebt gemaakt (App-id: 1).

  2. Selecteer onder Beheren de optie API-machtigingen.

  3. Selecteer onder Geconfigureerde machtigingen de optie Een machtiging toevoegen.

  4. Selecteer het tabblad Mijn API's.

  5. Selecteer de API (App-id: 2) waarvoor aan de webclienttoepassing toegang moet worden verleend. Voer bijvoorbeeld my-api1 in.

  6. Vouw onder Machtiging de sectie Taken uit en selecteer vervolgens de scopes die u eerder hebt gedefinieerd (bijvoorbeeld tasks.read en tasks.write).

  7. Selecteer Machtigingen toevoegen.

  8. Selecteer beheerderstoestemming verlenen voor <uw tenantnaam>.

  9. Selecteer Ja.

  10. Klik op Vernieuwen en controleer vervolgens of Verleend voor... wordt weergegeven onder Status voor beide toepassingsgebieden.

  11. Selecteer uw bereik in de lijst geconfigureerde machtigingen en kopieer vervolgens de volledige naam van het bereik.

    Schermopname van het geconfigureerde venster met machtigingen, waarop te zien is dat toegangsmachtigingen zijn verleend.

Stap 3: Het voorbeeld van de mobiele Android-app downloaden

Ga op een van de volgende manieren te werk:

  • Download een van deze voorbeelden:

    Pak het voorbeeldbestand .zip uit in uw werkmap.

  • Kloon de mobiele Android-voorbeeldtoepassing van GitHub.

    git clone https://github.com/Azure-Samples/ms-identity-android-kotlin

Stap 4: De voorbeeldweb-API configureren

Dit voorbeeld verwerft een toegangstoken met de relevante scopes die de mobiele app kan gebruiken voor een web-API. Ga als volgt te werk om een web-API aan te roepen vanuit code:

  1. Gebruik een bestaande web-API of maak een nieuwe. Zie Verificatie inschakelen in uw eigen web-API met behulp van Azure AD B2C voor meer informatie.
  2. Wijzig de voorbeeldcode om een web-API aan te roepen.

Stap 5: De mobiele voorbeeld-app configureren

Open het voorbeeldproject met Android Studio of een andere code-editor en open vervolgens het bestand /app/src/main/res/raw/auth_config_b2c.json .

Het auth_config_b2c.json configuratiebestand bevat informatie over uw Azure AD B2C-id-provider. De mobiele app gebruikt deze informatie om een vertrouwensrelatie tot stand te brengen met Azure AD B2C, gebruikers aan te melden en af te melden, tokens te verkrijgen en te valideren.

Werk de volgende eigenschappen van de app-instellingen bij:

Sleutelcode Waarde
client_id De id van de mobiele toepassing uit stap 2.3.
redirect_uri De omleidings-URI van de mobiele toepassing vanuit stap 2.3.
autoriteiten De instantie is een URL die een map aangeeft waaruit de MSAL tokens kan aanvragen. Gebruik de volgende indeling: https://<your-tenant-name>.b2clogin.com/<your-tenant-name>.onmicrosoft.com/<your-sign-in-sign-up-policy>. Vervang door <your-tenant-name> de naam van uw Azure AD B2C-tenant. Vervang vervolgens door <your-sign-in-sign-up-policy> de gebruikersstromen of het aangepaste beleid dat u in stap 1 hebt gemaakt.

Open de B2CConfiguration klasse en werk de volgende klasseleden bij:

Sleutelcode Waarde
Beleid De lijst met gebruikersstromen of aangepaste beleidsregels die u in stap 1 hebt gemaakt.
azureAdB2CHostNaam Het eerste deel van uw Azure AD B2C-tenantnaam (bijvoorbeeld). https://contoso.b2clogin.com
huurderNaam De volledige tenantnaam van uw Azure AD B2C-tenant (bijvoorbeeld contoso.onmicrosoft.com).
reikwijdtes De web-API-bereiken die u in stap 2.4 hebt gemaakt.

Stap 6: de mobiele app uitvoeren en testen

  1. Bouw het project en voer het uit.

  2. Selecteer linksboven het hamburgerpictogram (ook wel het samengevouwen menupictogram genoemd), zoals hier wordt weergegeven:

    Schermopname met het hamburgerpictogram of samengevouwen menu.

  3. Selecteer in het linkerdeelvenster de B2C-modus.

    Schermopname met de opdracht 'B2C-modus' in het linkerdeelvenster.

  4. Selecteer Gebruikersstroom uitvoeren.

    Schermopname met de knop 'Gebruikersstroom uitvoeren'.

  5. Meld u aan of meld u aan met uw lokale of sociale Azure AD B2C-account.

  6. Na een geslaagde verificatie ziet u uw weergavenaam in het deelvenster B2C-modus .

    Schermopname van een geslaagde verificatie, met aangemelde gebruiker en beleid weergegeven.

Volgende stappen

Leer hoe u het volgende doet: