Hinzufügen von AD FS als OpenID Connect-Identitätsanbieter mithilfe von benutzerdefinierten Richtlinien in Azure Active Directory B2C

Vorbereitung: Wählen Sie mithilfe des Selektors Richtlinientyp auswählen den Typ der einzurichtenden Richtlinie aus. Azure Active Directory B2C bietet zwei Methoden zum Definieren der Benutzerinteraktion mit Ihren Anwendungen: vordefinierte Benutzerflows oder vollständig konfigurierbare benutzerdefinierte Richtlinien. Die Schritte, die in diesem Artikel erforderlich sind, unterscheiden sich für jede Methode.

Voraussetzungen

Erstellen einer AD FS-Anwendung

Um Benutzern mit einem AD FS-Konto die Anmeldung bei Azure Active Directory B2C (Azure AD B2C) zu ermöglichen, erstellen Sie eine Anwendungsgruppe in Ihrer AD FS-Instanz. Weitere Informationen finden Sie unter Erstellen einer Webanwendung mithilfe von OpenID Connect mit AD FS 2016 und höher.

Führen Sie die folgenden Schritte aus, um eine Anwendungsgruppe zu erstellen:

  1. Wählen Sie im Server-Manager zunächst Tools und dann AD FS-Verwaltung aus.
  2. Klicken Sie in „AD FS-Verwaltung“ mit der rechten Maustaste auf Anwendungsgruppen, und wählen Sie Anwendungsgruppe hinzufügen aus.
  3. Gehen Sie auf dem Bildschirm Willkommen des Assistenten für Anwendungsgruppen folgendermaßen vor:
    1. Geben Sie den Namen Ihrer Anwendung ein. Beispiel: Azure AD B2C-Anwendung.
    2. Wählen Sie unter Client/Server-Anwendungen die Vorlage Webbrowser mit Zugriff auf eine Webanwendung aus.
    3. Wählen Sie Weiter aus.
  4. Gehen Sie auf dem Bildschirm Native Anwendung des Assistenten für Anwendungsgruppen folgendermaßen vor:
    1. Kopieren Sie den Wert für den Clientbezeichner. Der Clientbezeichner ist die Anwendungs-ID Ihrer AD FS-Instanz. Sie benötigen die Anwendungs-ID weiter unten in diesem Artikel.
    2. Geben Sie https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp in Umleitungs-URI ein, und klicken Sie dann auf Hinzufügen. Bei Verwendung einer benutzerdefinierten Domäne geben Sie https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp ein. Ersetzen Sie your-tenant-name durch den Namen Ihres Mandanten und your-domain-name durch Ihre benutzerdefinierte Domäne.
    3. Wählen Sie dreimal nacheinander Weiter aus, um den Assistenten für die App-Registrierung abzuschließen.
    4. Klicken Sie auf Schließen.

Konfigurieren der App-Ansprüche

In diesem Schritt konfigurieren Sie die Ansprüche, die eine AD FS-Anwendung an Azure AD B2C zurückgibt.

  1. Wählen Sie unter Anwendungsgruppen die von Ihnen erstellte Anwendung aus.

  2. Wählen Sie im Fenster mit den Anwendungseigenschaften unter Anwendungen den Eintrag Webanwendung aus. Klicken Sie dann auf Bearbeiten. Screenshot that shows how to edit a web application.

  3. Wählen Sie die Registerkarte Ausstellungstransformationsregeln und dann Regel hinzufügen aus.

  4. Wählen Sie in Anspruchsregelvorlage die Option LDAP-Attribute als Ansprüche senden und dann Weiter aus.

  5. Geben Sie einen Anspruchsregelnamen an. Wählen Sie als Attributspeicher die Option Active Directory aus, und fügen Sie die folgenden Ansprüche hinzu.

    LDAP-Attribut Typ des ausgehenden Anspruchs
    Benutzerprinzipalname upn
    Surname family_name
    Vorname given_name
    Anzeigename name

    Beachten Sie, dass einige dieser Namen in der Dropdownliste der Typen für ausgehende Ansprüche nicht angezeigt werden. Sie müssen sie manuell eingeben (die Dropdownliste kann bearbeitet werden).

  6. Wählen Sie Fertig stellen aus.

  7. Wählen Sie Übernehmen und dann OK aus.

  8. Wählen Sie erneut OK aus, um den Vorgang abzuschließen.

Konfigurieren von AD FS als Identitätsanbieter

  1. Melden Sie sich beim Azure-Portal als globaler Administrator Ihres Azure AD B2C-Mandanten an.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.

  3. Wählen Sie links oben im Azure-Portal die Option Alle Dienste aus, suchen Sie nach Azure AD B2C, und wählen Sie dann diese Option aus.

  4. Wählen Sie Identitätsanbieter und dann Neuer OpenID Connect-Anbieter aus.

  5. Geben Sie einen Namen ein. Zum Beispiel Contoso.

  6. Geben Sie bei Metadaten-URL die URL des AD FS-OpenID Connect-Konfigurationsdokuments ein. Zum Beispiel:

    https://adfs.contoso.com/adfs/.well-known/openid-configuration 
    
  7. Geben Sie für Client-ID die zuvor notierte Anwendungs-ID ein.

  8. Geben Sie für den Bereich das openid ein.

  9. Wählen Sie als Antworttyp die Option id_token aus. Der Wert des geheimen Clientschlüssels ist also nicht erforderlich. Erfahren Sie mehr über die Verwendung von Client-ID und Geheimnis beim Hinzufügen eines generischen OpenID Connect-Identitätsanbieters.

  10. (Optional) Geben Sie als Domänenhinweis die Zeichenfolge contoso.com ein. Weitere Informationen finden Sie unter Einrichten einer direkten Anmeldung mit Azure Active Directory B2C.

  11. Wählen Sie unter Zuordnung von Identitätsanbieteransprüchen die folgenden Ansprüche aus:

    • Benutzer-ID: upn
    • Anzeigename: unique_name
    • Vorname: given_name
    • Nachname: family_name
  12. Wählen Sie Speichern aus.

Hinzufügen des AD FS-Identitätsanbieters zu einem Benutzerflow

Der AD FS-Identitätsanbieter (Contoso) ist jetzt eingerichtet, aber noch auf keiner der Anmeldeseiten verfügbar. So fügen Sie den AD FS-Identitätsanbieter einem Benutzerflow hinzu:

  1. Wählen Sie in Ihrem Azure AD B2C-Mandanten die Option Benutzerflows aus.
  2. Wählen Sie den Benutzerflow aus, dem Sie den AD FS-Identitätsanbieter (Contoso) hinzufügen möchten.
  3. Wählen Sie unter Soziales Netzwerk als Identitätsanbieter die Option Contoso aus.
  4. Wählen Sie Speichern aus.
  5. Um die Richtlinie zu testen, wählen Sie Benutzerflow ausführen aus.
  6. Wählen Sie für Anwendung die Webanwendung testapp1 aus, die Sie zuvor registriert haben. Als Antwort-URL sollte https://jwt.ms angezeigt werden.
  7. Wählen Sie die Schaltfläche Benutzerflow ausführen aus.
  8. Wählen Sie auf der Registrierungs- oder Anmeldeseite die Option Contoso aus, um sich mit dem Contoso-Konto anzumelden.

Wenn der Anmeldevorgang erfolgreich verlaufen ist, wird der Browser an https://jwt.ms umgeleitet und dadurch der Inhalt des von Azure AD B2C zurückgegebenen Tokens angezeigt.

Konfigurieren von AD FS als Identitätsanbieter

Damit Benutzer sich mit einem AD FS-Konto anmelden können, müssen Sie die AD FS-Instanz als Anspruchsanbieter definieren, mit dem Azure AD B2C über einen Endpunkt kommunizieren kann.

  1. Öffnen Sie die Datei TrustFrameworkExtensions.xml.

  2. Suchen Sie nach dem Element ClaimsProviders. Falls das Element nicht vorhanden sein sollte, fügen Sie es unter dem Stammelement hinzu.

  3. Fügen Sie ein neues ClaimsProvider-Element wie folgt hinzu:

    <ClaimsProvider>
      <Domain>contoso.com</Domain>
      <DisplayName>Contoso</DisplayName>
      <TechnicalProfiles>
        <TechnicalProfile Id="Contoso-OpenIdConnect">
          <DisplayName>Contoso</DisplayName>
          <Protocol Name="OpenIdConnect" />
          <Metadata>
            <Item Key="METADATA">https://your-adfs-domain/adfs/.well-known/openid-configuration</Item>
            <Item Key="response_types">id_token</Item>
            <Item Key="response_mode">form_post</Item>
            <Item Key="scope">openid</Item>
            <Item Key="HttpBinding">POST</Item>
            <Item Key="UsePolicyInRedirectUri">0</Item>
            <!-- Update the Client ID below to the Application ID -->
            <Item Key="client_id">Your AD FS application ID</Item>
          </Metadata>
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="upn" />
            <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
            <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" />
            <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="unique_name" />
            <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss"  />
            <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
          </OutputClaims>
          <OutputClaimsTransformations>
            <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
            <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
            <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
          </OutputClaimsTransformations>
          <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
        </TechnicalProfile>
      </TechnicalProfiles>
    </ClaimsProvider>
    
  4. Geben Sie bei Metadaten-URL die URL des AD FS-OpenID Connect-Konfigurationsdokuments ein. Zum Beispiel:

    https://adfs.contoso.com/adfs/.well-known/openid-configuration 
    
  5. Legen Sie client_id auf die Anwendungs-ID aus der Anwendungsregistrierung fest.

  6. Speichern Sie die Datei .

Hinzufügen einer User Journey

Der Identitätsanbieter wurde nun eingerichtet, aber er ist noch auf keiner der Anmeldeseiten verfügbar. Wenn Sie nicht über eine eigene benutzerdefinierte User Journey verfügen, erstellen Sie ein Duplikat einer vorhandenen User Journey-Vorlage, und fahren Sie andernfalls mit dem nächsten Schritt fort.

  1. Öffnen Sie die Datei TrustFrameworkBase.xml aus dem Starter Pack.
  2. Suchen und kopieren Sie den gesamten Inhalt des UserJourney-Elements, das Id="SignUpOrSignIn" enthält.
  3. Öffnen Sie die Datei TrustFrameworkExtensions.xml, und suchen Sie nach dem UserJourneys-Element. Wenn das Element nicht vorhanden ist, fügen Sie ein solches hinzu.
  4. Fügen Sie den gesamten Inhalt des kopierten UserJourney-Element als untergeordnetes Element des UserJourneys-Elements ein.
  5. Benennen Sie die ID der User Journey um. Beispiel: Id="CustomSignUpSignIn".

Hinzufügen des Identitätsanbieters zu einer User Journey

Nachdem Sie nun über eine User Journey verfügen, fügen Sie den neuen Identitätsanbieter der User Journey hinzu. Fügen Sie zunächst eine Anmeldeschaltfläche hinzu, und verknüpfen Sie dann die Schaltfläche mit einer Aktion. Die Aktion ist das technische Profil, das Sie zuvor erstellt haben.

  1. Suchen Sie nach dem Orchestrierungsschrittelement, das Type="CombinedSignInAndSignUp" enthält, oder Type="ClaimsProviderSelection" in der User Journey. Dies ist in der Regel der erste Orchestrierungsschritt. Das ClaimsProviderSelections-Element enthält eine Liste mit Identitätsanbietern, mit denen sich ein Benutzer anmelden kann. Die Reihenfolge der Elemente gibt die Reihenfolge der Anmeldeschaltflächen vor, die dem Benutzer angezeigt werden. Fügen Sie ein ClaimsProviderSelection-XML-Element hinzu. Legen Sie für TargetClaimsExchangeId einen Anzeigenamen fest.

  2. Fügen Sie im nächsten Orchestrierungsschritt ein ClaimsExchange-Element hinzu. Legen Sie die ID auf den Wert der Zielanspruchs-Austausch-ID fest. Ändern Sie den Wert von TechnicalProfileReferenceId in die ID des technischen Profils, das Sie zuvor erstellt haben.

Der folgende XML-Code veranschaulicht die ersten beiden Orchestrierungsschritte einer User Journey mit dem Identitätsanbieter:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="ContosoExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="ContosoExchange" TechnicalProfileReferenceId="Contoso-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

Konfigurieren einer Richtlinie für die vertrauende Seite

Die Richtlinie für die vertrauende Seite (z. B. SignUpSignIn.xml) gibt die User Journey an, die Azure AD B2C ausführt. Suchen Sie das DefaultUserJourney-Element in Vertrauende Seite. Aktualisieren Sie ReferenceId auf die ID der User Journey, in der Sie den Identitätsanbieter hinzugefügt haben.

Im folgenden Beispiel wird die ReferenceId für die User Journey CustomSignUpSignIn auf CustomSignUpSignIn festgelegt:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Hochladen der benutzerdefinierten Richtlinie

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie auf der Symbolleiste des Portals das Symbol Verzeichnis und Abonnement aus, und wählen Sie dann das Verzeichnis aus, das Ihren Azure AD B2C-Mandanten enthält.
  3. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.
  4. Wählen Sie unter Richtlinien die Option Identity Experience Framework aus.
  5. Wählen Sie Benutzerdefinierte Richtlinie hochladen aus, und laden Sie dann die beiden geänderten Richtliniendateien in der folgenden Reihenfolge hoch: zuerst die Erweiterungsrichtlinie (z. B. TrustFrameworkExtensions.xml) und dann die Richtlinie für die vertrauende Seite (z. B. SignUpSignIn.xml).

Testen der benutzerdefinierten Richtlinie

  1. Wählen Sie die Richtliniendatei für die vertrauende Seite aus, z. B. B2C_1A_signup_signin.
  2. Wählen Sie für Anwendung eine Webanwendung aus, die Sie zuvor registriert haben. Als Antwort-URL sollte https://jwt.ms angezeigt werden.
  3. Wählen Sie die Schaltfläche Jetzt ausführen aus.
  4. Wählen Sie auf der Registrierungs- oder Anmeldeseite die Option Contoso aus, um sich mit dem Contoso-Konto anzumelden.

Wenn der Anmeldevorgang erfolgreich verlaufen ist, wird der Browser an https://jwt.ms umgeleitet und dadurch der Inhalt des von Azure AD B2C zurückgegebenen Tokens angezeigt.

Nächste Schritte

Erfahren Sie, wie Sie das AD FS-Token an Ihre Anwendung übergeben.