Kurz: Vytváření toků uživatelů a vlastních zásad v Azure Active Directory B2C

Než začnete, pomocí selektoru Zvolit typ zásady zvolte typ zásady, kterou nastavujete. Azure Active Directory B2C nabízí dvě metody pro definování způsobu interakce uživatelů s vašimi aplikacemi: prostřednictvím předdefinovaných toků uživatelů nebo prostřednictvím plně konfigurovatelných vlastních zásad. Kroky vyžadované v tomto článku se pro každou metodu liší.

Ve svých aplikacích můžete mít toky uživatelů, které uživatelům umožňují zaregistrovat se, přihlásit se nebo spravovat svůj profil. V tenantovi Azure Active Directory B2C (Azure AD B2C) můžete vytvořit několik toků uživatelů různých typů a podle potřeby je používat ve svých aplikacích. Toky uživatelů je možné opakovaně používat napříč aplikacemi.

Tok uživatele umožňuje určit, jak uživatelé pracují s vaší aplikací, když dělají věci, jako je přihlášení, registrace, úprava profilu nebo resetování hesla. V tomto článku získáte informace o těchto tématech:

Vlastní zásady jsou konfigurační soubory, které definují chování tenanta Azure Active Directory B2C (Azure AD B2C). V tomto článku získáte informace o těchto tématech:

  • Vytvoření toku uživatele registrace a přihlášení
  • Povolení samoobslužného resetování hesel
  • Vytvoření toku uživatele pro úpravy profilu

Důležité

Změnili jsme způsob, jakým označujeme verze toků uživatelů. Dříve jsme nabízeli verze v1 (připravené pro produkční prostředí) a verze v1.1 a v2 (Preview). Nyní jsme konsolidovali toky uživatelů do dvou verzí: Doporučené toky uživatelů s nejnovějšími funkcemi a standardními (staršími) toky uživatelů. Všechny starší verze preview toků uživatelů (V1.1 a V2) jsou zastaralé. Podrobnosti najdete v tématu Verze toku uživatelů v Azure AD B2C. Tyto změny platí jenom pro veřejný cloud Azure. Ostatní prostředí budou dál používat starší verze správy verzí toku uživatelů.

Předpoklady

Vytvoření toku uživatele registrace a přihlášení

Tok registrace a přihlašování zpracovává prostředí registrace i přihlašování s jednou konfigurací. Uživatelé vaší aplikace jsou v závislosti na kontextu vedeni správnou cestou.

  1. Přihlaste se k portálu Azure.

  2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a v nabídce Adresáře a předplatná přepněte do svého tenanta Azure AD B2C.

  3. Na webu Azure Portal vyhledejte a vyberte Azure AD B2C.

  4. V části Zásady vyberte Toky uživatelů a pak vyberte Nový tok uživatele.

    User flows page in portal with New user flow button highlighted

  5. Na stránce Vytvořit tok uživatele vyberte Tok registrace a přihlášení uživatele.

    Select a user flow page with Sign-up and sign-in flow highlighted

  6. V části Vybrat verzi vyberte Doporučené a pak vyberte Vytvořit. (Další informace o verzích toků uživatelů.)

    Create user flow page in Azure portal with properties highlighted

  7. Zadejte název toku uživatele. Například signupsignin1.

  8. U zprostředkovatelů identity vyberte Registrace e-mailu.

  9. Pro atributy uživatele a deklarace identity tokenů zvolte deklarace identity a atributy, které chcete shromažďovat a odesílat od uživatele během registrace. Vyberte například Zobrazit více a pak zvolte atributy a deklarace identity pro zemi/oblast, zobrazované jméno a PSČ. Vyberte OK.

    Attributes and claims selection page with three claims selected

  10. Vyberte Vytvořit a přidejte tok uživatele. Před název se automaticky předpona B2C_1_ .

Testování toku uživatele

  1. Vyberte tok uživatele, který jste vytvořili, a otevřete jeho stránku s přehledem.

  2. V horní části stránky přehledu toku uživatele vyberte Spustit tok uživatele. Na pravé straně stránky se otevře podokno.

  3. V části Aplikace vyberte webovou aplikaci, kterou chcete testovat, například webovou aplikaci s názvem 1. Adresa URL odpovědi by se měla zobrazit https://jwt.ms.

  4. Vyberte Spustit tok uživatele a pak vyberte Zaregistrovat se.

    Run user flow page in portal with Run user flow button highlighted

  5. Zadejte platnou e-mailovou adresu, vyberte Odeslat ověřovací kód, zadejte ověřovací kód, který obdržíte, a pak vyberte Ověřit kód.

  6. Zadejte nové heslo a potvrďte heslo.

  7. Vyberte zemi a oblast, zadejte název, který chcete zobrazit, zadejte PSČ a pak vyberte Vytvořit. Token se vrátí https://jwt.ms a měl by se zobrazit vám.

  8. Tok uživatele teď můžete spustit znovu a měli byste být schopni se přihlásit pomocí účtu, který jste vytvořili. Vrácený token obsahuje deklarace identity, které jste vybrali pro zemi/oblast, název a PSČ.

Poznámka:

Prostředí Spustit tok uživatele není v současné době kompatibilní s typem adresy URL odpovědi SPA pomocí toku autorizačního kódu. Pokud chcete s těmito druhy aplikací používat prostředí Spustit tok uživatele, zaregistrujte adresu URL odpovědi typu Web a povolte implicitní tok, jak je popsáno zde.

Povolení samoobslužného resetování hesel

Povolení samoobslužného resetování hesla pro tok uživatele registrace nebo přihlášení:

  1. Vyberte tok uživatele registrace nebo přihlášení, který jste vytvořili.
  2. V části Nastavení v nabídce vlevo vyberte Vlastnosti.
  3. V části Konfigurace hesla vyberte Samoobslužné resetování hesla.
  4. Zvolte Uložit.

Testování toku uživatele

  1. Vyberte tok uživatele, který jste vytvořili, a otevřete jeho stránku přehledu a pak vyberte Spustit tok uživatele.
  2. V části Aplikace vyberte webovou aplikaci, kterou chcete testovat, například webovou aplikaci s názvem 1. Adresa URL odpovědi by se měla zobrazit https://jwt.ms.
  3. Vyberte Spustit tok uživatele.
  4. Na registrační nebo přihlašovací stránce vyberte Zapomněli jste své heslo?.
  5. Ověřte e-mailovou adresu účtu, který jste vytvořili dříve, a pak vyberte Pokračovat.
  6. Teď máte možnost změnit heslo pro uživatele. Změňte heslo a vyberte Pokračovat. Token se vrátí https://jwt.ms a měl by se zobrazit vám.

Vytvoření toku uživatele pro úpravy profilu

Pokud chcete uživatelům povolit úpravy profilu ve vaší aplikaci, použijte tok uživatelů pro úpravy profilu.

  1. V nabídce na stránce přehledu tenanta Azure AD B2C vyberte Toky uživatelů a pak vyberte Nový tok uživatele.
  2. Na stránce Vytvořit tok uživatele vyberte tok uživatele pro úpravy profilu.
  3. V části Vybrat verzi vyberte Doporučené a pak vyberte Vytvořit.
  4. Zadejte název toku uživatele. Například profileediting1.
  5. V části Zprostředkovatelé identity v části Místní účty vyberte Registrace e-mailu.
  6. U atributů uživatele zvolte atributy, které má zákazník upravovat v profilu. Vyberte například Zobrazit více a pak zvolte atributy i deklarace identity pro zobrazovaný název a pracovní pozici. Vyberte OK.
  7. Vyberte Vytvořit a přidejte tok uživatele. K názvu se automaticky připojí předpona B2C_1_ .

Testování toku uživatele

  1. Vyberte tok uživatele, který jste vytvořili, a otevřete jeho stránku s přehledem.
  2. V horní části stránky přehledu toku uživatele vyberte Spustit tok uživatele. Na pravé straně stránky se otevře podokno.
  3. V části Aplikace vyberte webovou aplikaci, kterou chcete testovat, například webovou aplikaci s názvem 1. Adresa URL odpovědi by se měla zobrazit https://jwt.ms.
  4. Vyberte Spustit tok uživatele a přihlaste se pomocí účtu, který jste vytvořili dříve.
  5. Teď máte možnost změnit zobrazované jméno a pracovní pozici uživatele. Zvolte Pokračovat. Token se vrátí https://jwt.ms a měl by se zobrazit vám.

Tip

Tento článek vysvětluje, jak nastavit tenanta ručně. Celý proces můžete automatizovat z tohoto článku. Automatizace nasadí úvodní balíček Azure AD B2C SocialAndLocalAccountsWithMFA, který bude poskytovat cesty k úpravám hesla a registrace, resetování hesla a úpravám profilu. Pokud chcete následující návod automatizovat, navštivte instalační aplikaci IEF a postupujte podle pokynů.

Přidání podpisových a šifrovacích klíčů pro aplikace Identity Experience Framework

  1. Přihlaste se k portálu Azure.
  2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a v nabídce Adresáře a předplatná přepněte do svého tenanta Azure AD B2C.
  3. Na webu Azure Portal vyhledejte a vyberte Azure AD B2C.
  4. Na stránce přehledu v části Zásady vyberte Architekturu prostředí identit.

Vytvoření podpisového klíče

  1. Vyberte Klíče zásad a pak vyberte Přidat.
  2. V nabídce Možnosti zvolte Generate.
  3. Do pole Název zadejte TokenSigningKeyContainer. Předpona B2C_1A_ může být přidána automaticky.
  4. Jako typ klíče vyberte RSA.
  5. V případě použití klíče vyberte Podpis.
  6. Vyberte Vytvořit.

Vytvoření šifrovacího klíče

  1. Vyberte Klíče zásad a pak vyberte Přidat.
  2. V nabídce Možnosti zvolte Generate.
  3. Do pole Název zadejte TokenEncryptionKeyContainer. Předpona B2C_1A_ může být přidána automaticky.
  4. Jako typ klíče vyberte RSA.
  5. V případě použití klíče vyberte Šifrování.
  6. Vyberte Vytvořit.

Registrace aplikací architektury Identity Experience Framework

Azure AD B2C vyžaduje registraci dvou aplikací, které používá k registraci a přihlašování uživatelů pomocí místních účtů: IdentityExperienceFramework, webového rozhraní API a ProxyIdentityExperienceFramework, nativní aplikace s delegovaným oprávněním k aplikaci IdentityExperienceFramework. Vaši uživatelé se můžou zaregistrovat pomocí e-mailové adresy nebo uživatelského jména a hesla pro přístup k aplikacím registrovaným v tenantovi, což vytvoří "místní účet". Místní účty existují jenom ve vašem tenantovi Azure AD B2C.

Tyto dvě aplikace musíte zaregistrovat ve svém tenantovi Azure AD B2C jenom jednou.

Registrace aplikace IdentityExperienceFramework

Pokud chcete zaregistrovat aplikaci v tenantovi Azure AD B2C, můžete použít Registrace aplikací prostředí.

  1. Vyberte Registrace aplikací a pak vyberte Nová registrace.
  2. Do pole Název zadejte IdentityExperienceFramework.
  3. V části Podporované typy účtů vyberte Pouze účty v tomto organizačním adresáři.
  4. V části Identifikátor URI pro přesměrování vyberte web a pak zadejte https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com, kde your-tenant-name je název vaší domény tenanta Azure AD B2C.
  5. V části Oprávnění zaškrtněte políčko Udělit správci souhlas s openid a offline_access oprávnění.
  6. Vyberte Zaregistrovat.
  7. Poznamenejte si ID aplikace (klienta) pro použití v pozdějším kroku.

Dále zpřístupňte rozhraní API přidáním oboru:

  1. V nabídce vlevo v části Spravovat vyberte Zveřejnit rozhraní API.
  2. Vyberte Přidat obor a pak vyberte Uložit a pokračujte a přijměte výchozí identifikátor URI ID aplikace.
  3. Zadáním následujících hodnot vytvořte obor, který umožňuje spuštění vlastních zásad v tenantovi Azure AD B2C:
    • Název oboru: user_impersonation
    • zobrazovaný název Správa souhlasu:Access IdentityExperienceFramework
    • popis souhlasu Správa:Allow the application to access IdentityExperienceFramework on behalf of the signed-in user.
  4. Výběr možnosti Přidat obor

Registrace aplikace ProxyIdentityExperienceFramework

  1. Vyberte Registrace aplikací a pak vyberte Nová registrace.
  2. Do pole Název zadejte ProxyIdentityExperienceFramework.
  3. V části Podporované typy účtů vyberte Pouze účty v tomto organizačním adresáři.
  4. V části Identifikátor URI přesměrování vyberte v rozevíracím seznamu veřejný klient nebo nativní (mobilní & desktop).
  5. Pro identifikátor URI přesměrování zadejte myapp://auth.
  6. V části Oprávnění zaškrtněte políčko Udělit správci souhlas s openid a offline_access oprávnění.
  7. Vyberte Zaregistrovat.
  8. Poznamenejte si ID aplikace (klienta) pro použití v pozdějším kroku.

Dále určete, že aplikace by měla být považována za veřejného klienta:

  1. V nabídce vlevo v části Spravovat vyberte Ověřování.
  2. V části Upřesnit nastavení v části Povolit toky veřejného klienta nastavte na Hodnotu Ano následující mobilní a desktopové toky.
  3. Zvolte Uložit.
  4. Ujistěte se, že je v manifestu aplikace nastavená hodnota allowPublicClient: true :
    1. V nabídce vlevo v části Spravovat vyberte Manifest a otevřete manifest aplikace.
    2. Vyhledejte klíč allowPublicClient a ujistěte se, že je jeho hodnota nastavená na true.

Teď udělte oprávnění oboru rozhraní API, který jste zpřístupní dříve v registraci IdentityExperienceFramework :

  1. V nabídce vlevo v části Spravovat vyberte oprávnění rozhraní API.
  2. V části Nakonfigurovaná oprávnění vyberte Přidat oprávnění.
  3. Vyberte kartu Moje rozhraní API a pak vyberte aplikaci IdentityExperienceFramework.
  4. V části Oprávnění vyberte user_impersonation rozsah, který jste definovali dříve.
  5. Vyberte Přidat oprávnění. Podle pokynů počkejte několik minut, než budete pokračovat k dalšímu kroku.
  6. Vyberte Udělit souhlas správce pro <název vašeho tenanta).>
  7. Vyberte Ano.
  8. Vyberte Aktualizovat a pak ověřte, že je uděleno pro... zobrazí se v části Stav oboru.

Úvodní balíček vlastních zásad

Vlastní zásady jsou sada souborů XML, které nahrajete do tenanta Azure AD B2C, a definují tak technické profily a cesty uživatelů. Poskytujeme úvodní balíčky s několika předem připravenými zásadami, které vám pomůžou rychle začít. Každý z těchto úvodních balíčků obsahuje nejmenší počet technických profilů a cest uživatelů potřebných k dosažení popsaných scénářů:

  • LocalAccounts – Povolí pouze použití místních účtů.
  • SocialAccounts – Umožňuje používat jenom účty sociálních sítí (nebo federovaných).
  • SocialAndLocalAccounts – umožňuje používat místní i sociální účty.
  • SocialAndLocalAccountsWithMFA – Umožňuje možnosti sociálního, místního a vícefaktorového ověřování.

Každá úvodní sada obsahuje:

  • Základní soubor – pro základ je vyžadováno několik úprav. Příklad: TrustFrameworkBase.xml
  • Lokalizační soubor – Tento soubor je místem, kde se provádějí změny lokalizace. Příklad: TrustFrameworkLocalization.xml
  • Soubor s příponou – Tento soubor je místem, kde se provádí většina změn konfigurace. Příklad: TrustFrameworkExtensions.xml
  • Soubory předávající strany – Soubory specifické pro úlohy volané vaší aplikací Příklady: SignUpOrSignin.xml, ProfileEdit.xml, PasswordReset.xml

V tomto článku upravíte soubory vlastních zásad XML v úvodním balíčku SocialAndLocalAccounts . Pokud potřebujete editor XML, vyzkoušejte Visual Studio Code, jednoduchý multiplatformní editor.

Získání úvodní sady

Získejte úvodní balíčky vlastních zásad z GitHubu a pak aktualizujte soubory XML v úvodním balíčku SocialAndLocalAccounts názvem vašeho tenanta Azure AD B2C.

  1. Stáhněte si soubor .zip nebo naklonujte úložiště:

    git clone https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack
    
  2. Ve všech souborech v adresáři SocialAndLocalAccounts nahraďte řetězec yourtenant názvem vašeho tenanta Azure AD B2C.

    Pokud je například název vašeho tenanta B2C contosotenant, všechny instance yourtenant.onmicrosoft.com se stanou contosotenant.onmicrosoft.com.

Přidání ID aplikací do vlastních zásad

Přidejte ID aplikace do souboru TrustFrameworkExtensions.xml.

  1. Otevřete SocialAndLocalAccounts/TrustFrameworkExtensions.xml a najděte prvek <TechnicalProfile Id="login-NonInteractive">.
  2. Nahraďte obě instance IdentityExperienceFrameworkAppId ID aplikace IdentityExperienceFramework, kterou jste vytvořili dříve.
  3. Nahraďte obě instance ProxyIdentityExperienceFrameworkAppId ID aplikace ProxyIdentityExperienceFramework, kterou jste vytvořili dříve.
  4. Soubor uložte.

Přidání Facebooku jako zprostředkovatele identity

Úvodní balíček SocialAndLocalAccounts zahrnuje přihlášení k sociální síti Facebook. Facebook není nutný pro používání vlastních zásad, ale tady ho používáme k předvedení toho, jak můžete povolit federované sociální přihlášení ve vlastních zásadách. Pokud nepotřebujete povolit federované přihlášení k sociální síti, použijte místo toho úvodní balíček LocalAccounts a přeskočte Část Přidat Facebook jako zprostředkovatele identity.

Vytvoření facebookové aplikace

Pomocí kroků uvedených v části Vytvoření facebookové aplikace získejte ID aplikace Pro Facebook a tajný kód aplikace. Přeskočte požadavky a zbývající kroky v části Nastavení registrace a přihlaste se pomocí článku o facebookovém účtu .

Vytvoření klíče Facebooku

Přidejte tajný klíč aplikace pro Facebook jako klíč zásad. Tajný kód aplikace, kterou jste vytvořili, můžete použít v rámci požadavků tohoto článku.

  1. Přihlaste se k portálu Azure.
  2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a v nabídce Adresáře a předplatná přepněte do svého tenanta Azure AD B2C.
  3. Na webu Azure Portal vyhledejte a vyberte Azure AD B2C.
  4. Na stránce přehledu v části Zásady vyberte Architekturu prostředí identit.
  5. Vyberte Klíče zásad a pak vyberte Přidat.
  6. V nabídce Možnosti zvolte Manual.
  7. Do pole Název zadejte FacebookSecret. Předpona B2C_1A_ může být přidána automaticky.
  8. V tajném kódu zadejte tajný kód aplikace pro Facebook z developers.facebook.com. Tato hodnota je tajný klíč, nikoli ID aplikace.
  9. V případě použití klíče vyberte Podpis.
  10. Vyberte Vytvořit.

Aktualizace Souboru TrustFrameworkExtensions.xml v úvodním balíčku vlastních zásad

SocialAndLocalAccounts/TrustFrameworkExtensions.xml V souboru nahraďte hodnotu client_id ID aplikace Facebook a uložte změny.

<TechnicalProfile Id="Facebook-OAUTH">
  <Metadata>
  <!--Replace the value of client_id in this technical profile with the Facebook app ID"-->
    <Item Key="client_id">00000000000000</Item>

Nahrání zásad

  1. Na webu Azure Portal vyberte položku nabídky Rozhraní prostředí identit v tenantovi B2C.
  2. Vyberte Nahrát vlastní zásady.
  3. V tomto pořadí nahrajte soubory zásad:
    1. TrustFrameworkBase.xml
    2. TrustFrameworkLocalization.xml
    3. TrustFrameworkExtensions.xml
    4. SignUpOrSignin.xml
    5. ProfileEdit.xml
    6. PasswordReset.xml

Při nahrávání souborů azure přidá předponu B2C_1A_ k jednotlivým souborům.

Tip

Pokud váš editor XML podporuje ověřování, ověřte soubory ve TrustFrameworkPolicy_0.3.0.0.xsd schématu XML umístěném v kořenovém adresáři úvodní sady. Ověření schématu XML identifikuje chyby před nahráním.

Testování vlastních zásad

  1. V části Vlastní zásady vyberte B2C_1A_signup_signin.
  2. V části Vybrat aplikaci na stránce přehledu vlastních zásad vyberte webovou aplikaci, kterou chcete otestovat, například aplikaci s názvem webapp1.
  3. Ujistěte se, že adresa URL odpovědi je https://jwt.ms.
  4. Vyberte Spustit.
  5. Zaregistrujte se pomocí e-mailové adresy.
  6. Znovu vyberte Spustit .
  7. Přihlaste se pomocí stejného účtu a potvrďte, že máte správnou konfiguraci.
  8. Znovu vyberte Spustit a vyberte Facebook pro přihlášení pomocí Facebooku a otestování vlastních zásad.

Další kroky

V tomto článku jste se naučili:

  • Vytvoření toku registrace a přihlášení uživatele
  • Vytvoření toku uživatele pro úpravy profilu
  • Vytvoření toku uživatele resetování hesla

Dále se dozvíte, jak pomocí Azure AD B2C přihlásit a zaregistrovat uživatele v aplikaci. Postupujte podle níže uvedených ukázkových aplikací:

Další informace najdete také v podrobné řadě architektury Azure AD B2C.