Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Viktigt!
Från och med den 1 maj 2025 är Azure AD B2C inte längre tillgängligt att köpa för nya kunder. Läs mer i våra vanliga frågor och svar.
Innan du börjar använder du väljaren Välj en principtyp överst på den här sidan för att välja den typ av princip som du konfigurerar. Azure Active Directory B2C erbjuder två metoder för att definiera hur användare interagerar med dina program: via fördefinierade användarflöden eller genom fullständigt konfigurerbara anpassade principer. De steg som krävs i den här artikeln skiljer sig åt för varje metod.
Ett användarflöde i Azure Active Directory B2C (Azure AD B2C) ger användare av ditt program möjlighet att registrera sig eller logga in med en identitetsprovider. När resan startar tar Azure AD B2C emot en åtkomsttoken från identitetsprovidern. Azure AD B2C använder den token för att hämta information om användaren. Du aktiverar ett anspråk i ditt användarflöde för att vidarebefordra token till de applikationer som du registrerar i Azure AD B2C.
Azure AD B2C har stöd för att skicka åtkomsttoken för OAuth 2.0-identitetsproviders , inklusive Facebook och Google. För alla andra identitetsprovidrar returneras anspråket tomt.
Azure AD B2C har stöd för att skicka åtkomsttoken för OAuth 2.0 - och OpenID Connect-identitetsproviders . För alla andra identitetsprovidrar returneras anspråket tomt. För mer information, kolla in identitetsleverantörernas federation Live Demo.
Följande diagram visar hur en identitetsprovidertoken återgår till din app:
Förutsättningar
- Skapa ett användarflöde så att användare kan registrera sig och logga in på ditt program.
- Registrera ett webbprogram.
- Slutför stegen i Kom igång med anpassade principer i Active Directory B2C. Handledningen visar hur du uppdaterar anpassade principfiler för att använda konfigurationen för din Azure AD B2C-klient.
- Registrera ett webbprogram.
Aktivera anspråket
Logga in på Azure-portalen som administratör för externt ID-användarflöde för din Azure AD B2C-klient.
Om du har åtkomst till flera klientorganisationer väljer du ikonen Inställningar på den översta menyn för att växla till din Azure AD B2C-klientorganisation från menyn Kataloger + prenumerationer.
Välj Alla tjänster i det övre vänstra hörnet i Azure-portalen, sök efter och välj Azure AD B2C.
Välj Användarflöden (principer) och välj sedan ditt användarflöde. Till exempel B2C_1_signupsignin1.
Välj Applikationsanspråk.
Aktivera anspråket för åtkomsttoken för identitetsprovidern .
Klicka på Spara för att spara användarflödet.
Testa användarflödet
När du testar dina program i Azure AD B2C kan det vara användbart att få Azure AD B2C-token returnerad till https://jwt.ms för att granska anspråken i den.
På sidan Översikt i användarflödet väljer du Kör användarflöde.
För Program väljer du det program som du registrerade tidigare. Om du vill se token i exemplet nedan ska Svar-URL visa
https://jwt.ms.Klicka på Kör användarflöde och logga sedan in med dina kontoautentiseringsuppgifter. Du bör se åtkomsttoken för identitetsprovidern i idp_access_token anspråket.
Du bör se något som liknar följande exempel:
Lägg till anspråkselementen
Öppna TrustframeworkExtensions.xml-filen och lägg till följande ClaimType-element med identifieraren
identityProviderAccessTokenClaimsSchema för elementet:<BuildingBlocks> <ClaimsSchema> <ClaimType Id="identityProviderAccessToken"> <DisplayName>Identity Provider Access Token</DisplayName> <DataType>string</DataType> <AdminHelpText>Stores the access token of the identity provider.</AdminHelpText> </ClaimType> ... </ClaimsSchema> </BuildingBlocks>Lägg till elementet OutputClaim i elementet TechnicalProfile för varje OAuth 2.0-identitetsprovider som du vill ha åtkomsttoken för. I följande exempel visas elementet som lagts till i Facebooks tekniska profil:
<ClaimsProvider> <DisplayName>Facebook</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="Facebook-OAUTH"> <OutputClaims> <OutputClaim ClaimTypeReferenceId="identityProviderAccessToken" PartnerClaimType="{oauth2:access_token}" /> </OutputClaims> ... </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>Spara TrustframeworkExtensions.xml fil.
Öppna principfilen för förlitande part, till exempel SignUpOrSignIn.xmloch lägg till elementet OutputClaim i TechnicalProfile:
<RelyingParty> <DefaultUserJourney ReferenceId="SignUpOrSignIn" /> <TechnicalProfile Id="PolicyProfile"> <OutputClaims> <OutputClaim ClaimTypeReferenceId="identityProviderAccessToken" PartnerClaimType="idp_access_token"/> </OutputClaims> ... </TechnicalProfile> </RelyingParty>Spara principfilen.
Testa principen
När du testar dina applikationer i Azure AD B2C kan det vara användbart att Azure AD B2C-token returneras till https://jwt.ms för att kunna granska attributen i den.
Ladda upp filerna
- Logga in på Azure-portalen.
- Om du har åtkomst till flera klientorganisationer väljer du ikonen Inställningar på den översta menyn för att växla till din Azure AD B2C-klientorganisation från menyn Kataloger + prenumerationer.
- Välj Alla tjänster i det övre vänstra hörnet i Azure-portalen och sök sedan efter och välj Azure AD B2C.
- Välj Identity Experience Framework.
- På sidan Anpassade principer klickar du på Ladda upp princip.
- Välj Skriv över principen om den finns och sök sedan efter och välj den TrustframeworkExtensions.xml filen.
- Välj Ladda upp.
- Upprepa steg 5 till 7 för den förlitande partfilen, till exempel SignUpOrSignIn.xml.
Aktivera policyn
Öppna policyn som du ändrade. Till exempel B2C_1A_signup_signin.
För Program väljer du det program som du registrerade tidigare. Om du vill se token i exemplet nedan ska Svar-URL visa
https://jwt.ms.Välj kör nu.
Du bör se något som liknar följande exempel:
Skicka IDP-uppdateringstoken (valfritt)
Den åtkomsttoken som identitetsprovidern returnerar är giltig under en kort tidsperiod. Vissa identitetsproviders utfärdar också en uppdateringstoken tillsammans med åtkomsttoken. Klientprogrammet kan sedan byta ut identitetsproviderns uppdateringstoken mot en ny åtkomsttoken när det behövs.
Azure AD B2C anpassad policy har stöd för att överföra uppdateringstoken för OAuth 2.0-identitetsprovidrar, som omfattar Facebook, Google och GitHub.
För att skicka identitetsleverantörens förnyelsetoken, följ dessa steg:
Öppna TrustframeworkExtensions.xml-filen och lägg till följande ClaimType-element med identifieraren
identityProviderRefreshTokenClaimsSchema för elementet.<ClaimType Id="identityProviderRefreshToken"> <DisplayName>Identity provider refresh token</DisplayName> <DataType>string</DataType> </ClaimType>Lägg till elementet OutputClaim i elementet TechnicalProfile för varje OAuth 2.0-identitetsprovider som du vill ha uppdateringstoken för. I följande exempel visas elementet som lagts till i Facebooks tekniska profil:
<ClaimsProvider> <DisplayName>Facebook</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="Facebook-OAUTH"> <OutputClaims> <OutputClaim ClaimTypeReferenceId="identityProviderRefreshToken" PartnerClaimType="{oauth2:refresh_token}" /> </OutputClaims> ... </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>Vissa identitetsproviders kräver att du inkluderar metadata eller omfång i identitetsproviderns tekniska profil.
För Googles identitetsleverantör lägger du till två anspråkstyper
access_typeochprompt. Lägg sedan till följande indataanspråk i identitetsproviderns tekniska profil:<InputClaims> <InputClaim ClaimTypeReferenceId="access_type" PartnerClaimType="access_type" DefaultValue="offline" AlwaysUseDefaultValue="true" /> <!-- The refresh_token is return only on the first authorization for a given user. Subsequent authorization request doesn't return the refresh_token. To fix this issue we add the prompt=consent query string parameter to the authorization request--> <InputClaim ClaimTypeReferenceId="prompt" PartnerClaimType="prompt" DefaultValue="consent" AlwaysUseDefaultValue="true" /> </InputClaims>Andra identitetsprovidrar kan ha olika metoder för att utfärda en uppdateringstoken. Följ identitetsproviderns målgrupp och lägg till nödvändiga element i identitetsproviderns tekniska profil.
Spara de ändringar du har gjort i TrustframeworkExtensions.xml-filen .
Öppna principfilen för förlitande part, till exempel SignUpOrSignIn.xmloch lägg till elementet OutputClaim i TechnicalProfile:
<RelyingParty> <DefaultUserJourney ReferenceId="SignUpOrSignIn" /> <TechnicalProfile Id="PolicyProfile"> <OutputClaims> <OutputClaim ClaimTypeReferenceId="identityProviderRefreshToken" PartnerClaimType="idp_refresh_token"/> </OutputClaims> ... </TechnicalProfile> </RelyingParty>Spara de ändringar som du har gjort i policyns fil för förlitande part.
Ladda upp TrustframeworkExtensions.xml-filen och sedan principfilen för den betrodda parten.
Nästa steg
Läs mer i översikten över Azure AD B2C-token.