Activer des domaines personnalisés pour Azure Active Directory B2C

Avant de commencer, utilisez le sélecteur Choisir un type de stratégie pour choisir le type de stratégie que vous configurez. Azure Active Directory B2C offre deux possibilités pour définir la façon dont les utilisateurs interagissent avec vos applications : via des flux utilisateurs prédéfinis ou via des stratégies personnalisées entièrement configurables. La procédure donnée dans cet article est différente pour chaque méthode.

Cet article décrit comment activer des domaines personnalisés dans vos URL de redirection pour Azure Active Directory B2C (Azure AD B2C). En utilisant un domaine personnalisé vérifié, vous bénéficiez d’avantages tels que :

  • Il offre une expérience utilisateur plus fluide. Côté utilisateur, les URL restent dans votre domaine au cours du processus de connexion au lieu de rediriger vers le domaine par défaut Azure AD B2C <nom du locataire>.b2clogin.com.

  • En restant dans le même domaine pour votre application lors de la connexion, vous réduisez l’impact de blocage des cookies tiers.

  • Vous augmentez le nombre d’objets (comptes d’utilisateur et applications) que vous pouvez créer dans votre locataire Azure AD B2C de 1,25 million (la valeur par défaut) à 5,25 millions.

Screenshot demonstrates an Azure AD B2C custom domain user experience.

Vue d’ensemble des domaines personnalisés

Vous pouvez activer des domaines personnalisés pour Azure AD B2C à l’aide d’Azure Front Door. Azure Front Door est un point d’entrée mondial qui utilise le réseau de périmètre mondial de Microsoft pour créer des applications web rapides, sécurisées et très évolutives. Vous pouvez afficher le contenu Azure AD B2C derrière Azure Front Door, puis configurer une option dans Azure Front Door pour fournir le contenu via un domaine personnalisé dans l’URL de votre application.

Regardez cette vidéo pour en savoir plus sur le domaine personnalisé Azure AD B2C.

Le diagramme suivant illustre l’intégration d’Azure Front Door :

  1. À partir d’une application, un utilisateur sélectionne le bouton de connexion qui l’amène à la page de connexion d’Azure AD B2C. Cette page spécifie un nom de domaine personnalisé.
  2. Le navigateur web résout le nom de domaine personnalisé en adresse IP Azure Front Door. Pendant la résolution DNS, un enregistrement de nom canonique (CNAME) avec un nom de domaine personnalisé pointe vers l’hôte frontal par défaut de Front Door (par exemple, contoso-frontend.azurefd.net).
  3. Le trafic adressé au domaine personnalisé (par exemple, login.contoso.com) est acheminé vers l’hôte frontal par défaut de Front Door spécifié (contoso-frontend.azurefd.net).
  4. Front Door appelle le contenu Azure AD B2C à l’aide du domaine <tenant-name>.b2clogin.com Azure AD B2C par défaut. La demande adressée au point de terminaison Azure AD B2C inclut le nom de domaine personnalisé d’origine.
  5. Azure AD B2C répond à la requête en affichant le contenu approprié et le domaine personnalisé d’origine.

Diagram shows the custom domain networking flow.

Important

La connexion entre le navigateur et Azure Front Door doit toujours utiliser IPv4 au lieu d’IPv6.

Lorsque vous utilisez des domaines personnalisés, tenez compte des éléments suivants :

  • Vous pouvez configurer plusieurs domaines personnalisés. Pour connaître le nombre maximal de domaines personnalisés pris en charge, consultez Restrictions et limites du service Microsoft Entra pour Azure AD B2C et Abonnement Azure et limites, quotas et contraintes de service pour Azure Front Door.
  • Azure Front Door étant un service Azure distinct, des frais supplémentaires seront donc facturés. Pour plus d’informations, consultez Tarification de Front Door.
  • Une fois que vous avez configuré des domaines personnalisés, les utilisateurs peuvent toujours accéder au nom de domaine par défaut Azure AD B2C < (sauf si vous utilisez une stratégie personnalisée et bloquez l’accès.
  • Si vous avez plusieurs applications, migrez-les toutes vers le domaine personnalisé, car le navigateur stocke la session de Azure AD B2C sous le nom de domaine en cours d’utilisation.

Prérequis

Étape 1 : ajouter un nom de domaine personnalisé à votre locataire Azure AD B2C

Chaque nouveau locataire Azure AD B2C est fourni avec un nom de domaine initial, au format <nom_de_domaine>.onmicrosoft.com. Vous ne pouvez ni modifier ni supprimer le nom de domaine initial, mais vous pouvez ajouter un domaine personnalisé.

Pour ajouter un domaine personnalisé à votre locataire Azure AD B2C, procédez comme suit :

  1. Ajouter votre nom de domaine personnalisé à Microsoft Entra ID.

    Important

    Pour ces étapes, veillez à vous connecter à votre locataire Azure AD B2C et à sélectionner le service Microsoft Entra ID.

  2. Ajoutez vos informations DNS au bureau d’enregistrement de domaines. Après avoir ajouté votre nom de domaine personnalisé à Microsoft Entra ID, créez un DNS TXT ou un enregistrement MX pour votre domaine. La création de cet enregistrement DNS pour votre domaine entraîne la vérification de la propriété de votre nom de domaine.

    Les exemples suivants illustrent les enregistrements TXT pour login.contoso.com et account.contoso.com :

    Nom (nom d’hôte) Type Données
    login TXT MS=ms12345678
    account TXT MS=ms87654321

    L’enregistrement TXT doit être associé au sous-domaine ou au nom d’hôte du domaine. Par exemple, la partie login du domaine contoso.com. Si le nom d’hôte est vide ou est @, Microsoft Entra ID n’est pas en mesure de vérifier le domaine personnalisé que vous avez ajouté. Dans les exemples suivants, les deux enregistrements sont mal configurés.

    Nom (nom d’hôte) Type Données
    TXT MS=ms12345678
    @ TXT MS=ms12345678

    Conseil

    Vous pouvez gérer votre domaine personnalisé avec n’importe quel service DNS disponible publiquement, tel que GoDaddy. Si vous n’avez pas de serveur DNS, vous pouvez utiliser une zone Azure DNS ou des domaines App Service.

  3. Vérifiez votre nom de domaine personnalisé. Vérifiez chaque sous-domaine, ou nom d’hôte, que vous envisagez d’utiliser. Par exemple, pour pouvoir vous connecter à login.contoso.com et account.contoso.com, vous devez vérifier les deux sous-domaines et pas seulement le domaine de niveau supérieur contoso.com.

    Important

    Une fois le domaine vérifié, supprimez l’enregistrement TXT DNS que vous avez créé.

Étape 2 : créer une nouvelle instance Azure Front Door

Procédez comme suit pour créer une instance Azure Front Door :

  1. Connectez-vous au portail Azure.

  2. Pour choisir le répertoire contenant l’abonnement Azure que vous souhaitez utiliser pour Azure Front Door et non le répertoire contenant votre tenant Azure AD B2C, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Répertoires + abonnements.

  3. Suivez les étapes décrites dans Créer un profil Front Door - Création rapide pour créer une instance Front Door pour votre locataire Azure AD B2C avec les paramètres suivants :

    Clé Valeur
    Abonnement Sélectionnez votre abonnement Azure.
    Resource group Sélectionnez un groupe de ressources existant ou créez-en un.
    Name Donnez un nom à votre profil comme b2cazurefrontdoor.
    Niveau Sélectionnez le niveau Standard ou Premium. Le niveau Standard est optimisé pour la livraison de contenu. Le niveau Premium s’appuie sur le niveau Standard et est axé sur la sécurité. Voir Comparaison des niveaux.
    Nom du point de terminaison Entrez un nom global unique pour votre point de terminaison, comme b2cazurefrontdoor. Le nom d’hôte du point de terminaison est généré automatiquement.
    Type d’origine Sélectionnez Custom.
    Nom d’hôte de l’origin Entrez <tenant-name>.b2clogin.com. Remplacez <tenant-name> par le nom de votre locataire Azure AD B2C, par exemple contoso.b2clogin.com.

    Laissez la stratégie de mise en cache et WAF vide.

  4. Une fois la ressource Azure Front Door créée, sélectionnez Vue d’ensemble et copiez le Nom d’hôte du point de terminaison. Il doit ressembler à ceci : b2cazurefrontdoor-ab123e.z01.azurefd.net.

  5. Vérifiez que le Nom d’hôte et l’En-tête d’hôte de l’origine de votre origine ont la même valeur :

    1. Sous Paramètres, sélectionnez Groupes d’origine.
    2. Sélectionnez votre groupe d’origine dans la liste, par exemple default-origin-group.
    3. Dans le volet droit, sélectionnez votre Nom d’hôte d’origine, tel que contoso.b2clogin.com.
    4. Dans le volet Mettre à jour l’origine, mettez à jour le Nom d’hôte et l’En-tête d’hôte de l’origine pour qu’ils aient la même valeur.

    Screenshot of how to update custom domain origins.

Étape 3: configurer votre domaine personnalisé sur Azure Front Door

Au cours de cette étape, vous allez ajouter le domaine personnalisé que vous avez inscrit à votre instance Azure Front Door à l’étape 1.

3.1. Créer un enregistrement CNAME DNS

Pour ajouter le domaine personnalisé, créez un enregistrement de nom canonique (CNAME) auprès de votre fournisseur de domaine. Un enregistrement CNAME est un type d’enregistrement DNS qui mappe un nom de domaine source à un nom de domaine de destination (alias). Pour Azure Front Door, le nom de domaine source correspond à votre nom de domaine personnalisé, et le nom de domaine de destination correspond au nom d’hôte par défaut Front Door que vous avez configuré à l’étape 2. Créer une instance Azure Front Door. Par exemple : b2cazurefrontdoor-ab123e.z01.azurefd.net.

Une fois que Front Door a vérifié l’enregistrement CNAME que vous avez créé, le trafic adressé au domaine personnalisé source (par exemple, login.contoso.com) est acheminé vers l’hôte front-end par défaut de l’instance Front Door de destination spécifiée (par exemple contoso-frontend.azurefd.net). Pour plus d’informations, consultez Ajoutez un domaine personnalisé à votre Front Door.

Pour créer un enregistrement CNAME pour votre domaine personnalisé :

  1. Connectez-vous au site web du fournisseur de domaine pour votre domaine personnalisé.

  2. Recherchez la page permettant de gérer les enregistrements DNS en consultant la documentation du fournisseur ou en recherchant les sections du site web intitulées Nom de domaine, DNS ou Gestion des noms de serveur.

  3. Créez une entrée d’enregistrement CNAME pour votre domaine personnalisé et renseignez les champs comme indiqué dans le tableau suivant (les noms de champs peuvent varier) :

    Source Type Destination
    <login.contoso.com> CNAME contoso-frontend.azurefd.net
    • Source : entrez votre nom de domaine personnalisé (par exemple, login.contoso.com).

    • Tapez : entrez CNAME.

    • Destination : entrez l’hôte front-end Front Door par défaut que vous avez créé à l’étape 2. Il doit être au format suivant : <nom_hôte> .azurefd.net. Par exemple : contoso-frontend.azurefd.net.

  4. Enregistrez vos modifications.

3.2. Associer le domaine personnalisé à votre Front Door

  1. Dans la page d’accueil du portail Azure, recherchez et sélectionnez la ressource Azure Front Door myb2cazurefrontdoor pour l’ouvrir.

  2. Dans le menu de gauche, sous Paramètres, sélectionnez Domaines.

  3. Sélectionnez Ajouter un domaine.

  4. Pour Gestion DNS, sélectionnez Tous les autres services DNS.

  5. Pour Domaine personnalisé, entrez votre domaine personnalisé, par exemple login.contoso.com.

  6. Gardez les autres valeurs par défaut, puis sélectionnez Ajouter. Votre domaine personnalisé est ajouté à la liste.

  7. Sous État de validation du domaine que vous venez d’ajouter, sélectionnez En attente. Un volet avec des informations d’enregistrement TXT s’ouvre.

    1. Connectez-vous au site web du fournisseur de domaine pour votre domaine personnalisé.

    2. Recherchez la page permettant de gérer les enregistrements DNS en consultant la documentation du fournisseur ou en recherchant les sections du site web intitulées Nom de domaine, DNS ou Gestion des noms de serveur.

    3. Créez un enregistrement DNS TXT et renseignez les champs comme indiqué ci-dessous :

      1. Nom : _dnsauth.contoso.com, mais vous devez entrer juste _dnsauth.
      2. Entrez : TXT
      3. Valeur : Quelque chose comme 75abc123t48y2qrtsz2bvk.......

      Une fois que vous avez ajouté l’enregistrement DNS TXT, l’État de validation dans la ressource Front Door finit par passer de En attente à Approuvé. Vous devrez peut-être recharger votre page pour que la modification se produise.

  8. Revenez à votre portail Azure. Sous Association de point de terminaison du domaine que vous venez d’ajouter, sélectionnez Non associé.

  9. Pour Sélectionner un point de terminaison, sélectionnez le point de terminaison de nom d’hôte dans la liste déroulante.

  10. Pour la liste Sélectionner des routes, sélectionnez route par défaut, puis Associer.

3.3. Activer la route

La route par défaut achemine le trafic du client à Azure Front Door. Ensuite, Azure Front Door utilise votre configuration pour envoyer le trafic à Azure AD B2C. Suivez ces étapes pour activer la route par défaut.

  1. Sélectionnez Gestionnaire Front Door.

  2. Pour ajouter la route par défaut, commencez par développer un point de terminaison dans la liste des points de terminaison dans le gestionnaire Front Door. Ensuite, sélectionnez la route par défaut.

    La capture d’écran suivante montre comment sélectionner la route par défaut.

    Screenshot of selecting the default route.

  3. Cochez la case Activer la route.

  4. Sélectionnez Mettre à jour pour enregistrer les modifications.

Étape 4 : Configurer CORS

Si vous personnalisez l’interface utilisateur Azure AD B2C avec un modèle HTML, vous devez configurer CORQ avec votre domaine personnalisé.

Configurez le stockage d’objets BLOB Azure pour le partage des ressources cross-origin en procédant comme suit :

  1. Dans le Portail Azure, accédez à votre compte de stockage.
  2. Dans le menu, sélectionnez CORS.
  3. Pour Origines autorisées, entrez https://your-domain-name. Remplacez your-domain-name par le nom de votre domaine. Par exemple : https://login.contoso.com. Utilisez des minuscules quand vous entrez le nom de votre locataire.
  4. Pour Méthodes autorisées, sélectionnez GET et OPTIONS.
  5. Pour En-têtes autorisés, saisissez un astérisque (*).
  6. Pour En-têtes exposés, saisissez un astérisque (*).
  7. Pour Âge maximal, tapez 200.
  8. Sélectionnez Enregistrer.

Tester votre domaine personnalisé

  1. Connectez-vous au portail Azure.

  2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Répertoires + abonnements.

  3. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.

  4. Sous Stratégies, sélectionnez Flux utilisateur (stratégies) .

  5. Sélectionnez un flux d’utilisateur, puis sélectionnez Exécuter le flux d’utilisateur.

  6. Pour Application, sélectionnez l’application web webapp1 que vous avez précédemment inscrite. L’URL de réponse doit être https://jwt.ms.

  7. Copiez l’URL sous Exécuter le point de terminaison du flux d’utilisateur.

    Screenshot of how to copy the authorization request U R I.

  8. Pour simuler une connexion à votre domaine personnalisé, ouvrez un navigateur web et utilisez l’URL que vous avez copiée. Remplacez le domaine Azure AD B2C ( <nom de locataire> .b2clogin.com) par votre domaine personnalisé.

    Par exemple, à la place de :

    https://contoso.b2clogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=63ba0d17-c4ba-47fd-89e9-31b3c2734339&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
    

    utiliser :

    https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=63ba0d17-c4ba-47fd-89e9-31b3c2734339&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login    
    
  9. Vérifiez que l’Azure AD B2C est chargé correctement. Ensuite, connectez-vous avec un compte local.

  10. Répétez le test avec vos stratégies restantes.

Configurer votre fournisseur d’identité

Lorsqu’un utilisateur choisit de se connecter avec un fournisseur d’identité sociale, Azure AD B2C lance une requête d’autorisation et dirige l’utilisateur vers le fournisseur d’identité sélectionné pour effectuer le processus de connexion. La requête d’autorisation spécifie le redirect_uri avec le nom de domaine par défaut Azure AD B2C :

https://<tenant-name>.b2clogin.com/<tenant-name>/oauth2/authresp

Si vous avez configuré votre stratégie pour autoriser la connexion avec un fournisseur d’identité externe, mettez à jour les URI de redirection OAuth avec le domaine personnalisé. La plupart des fournisseurs d’identité vous permettent d’inscrire plusieurs URI de redirection. Nous vous recommandons d’ajouter des URI de redirection plutôt que de les remplacer pour pouvoir tester votre stratégie personnalisée sans affecter les applications qui utilisent le nom de domaine par défaut Azure AD B2C.

Dans l’URI de redirection suivant :

https://<custom-domain-name>/<tenant-name>/oauth2/authresp
  • Remplacez <nom de domaine personnalisé> par le nom de votre domaine personnalisé.
  • Remplacez <nom de locataire> par le nom de votre locataire ou votre ID de locataire.

L’exemple suivant montre un URI de redirection OAuth valide :

https://login.contoso.com/contoso.onmicrosoft.com/oauth2/authresp

Si vous choisissez d’utiliser l’ID de locataire, un URI de redirection OAuth valide ressemble à l’exemple suivant :

https://login.contoso.com/11111111-1111-1111-1111-111111111111/oauth2/authresp

Les métadonnées des fournisseurs d’identité SAML se présentent comme l’exemple suivant :

https://<custom-domain-name>.b2clogin.com/<tenant-name>/<your-policy>/samlp/metadata?idptp=<your-technical-profile>

Configuration de votre application

Après avoir configuré et testé le domaine personnalisé, vous pouvez mettre à jour vos applications pour charger l’URL qui spécifie votre domaine personnalisé comme nom d’hôte au lieu du domaine Azure AD B2C.

L’intégration de domaine personnalisé s’applique aux points de terminaison d’authentification qui utilisent des stratégies Azure AD B2C (flux d’utilisateur ou stratégies personnalisées) pour authentifier les utilisateurs. Ces points de terminaison peuvent ressembler à l’exemple suivant :

  • https://<custom-domain>/<tenant-name>/<policy-name>/v2.0/.well-known/openid-configuration

  • https://<custom-domain>/<tenant-name>/<policy-name>/oauth2/v2.0/authorize

  • https://<custom-domain>/<tenant-name>/<policy-name>/oauth2/v2.0/token

Remplacez :

Les métadonnées du fournisseur de services SAML peuvent ressembler à l’exemple suivant :

https://custom-domain-name/tenant-name/policy-name/Samlp/metadata

(Facultatif) Utiliser l’ID de locataire

Vous pouvez remplacer le nom de votre locataire B2C dans l’URL par le GUID d’ID de votre locataire pour supprimer toutes les références à « b2c » dans l’URL. Vous trouverez le GUID d’ID de votre locataire dans la page Vue d’ensemble de B2C de le portail Azure. Par exemple, remplacez https://account.contosobank.co.uk/contosobank.onmicrosoft.com/ par https://account.contosobank.co.uk/<tenant ID GUID>/

Si vous choisissez d’utiliser l’ID de locataire au lieu du nom de locataire, veillez à mettre à jour les URI de redirection OAuth du fournisseur d’identité en conséquence. Pour plus d’informations, consultez Configurer votre fournisseur d'identité.

Émission du jeton

Le nom de l’émetteur de jeton (ISS) demande des modifications en fonction du domaine personnalisé utilisé. Par exemple :

https://<domain-name>/11111111-1111-1111-1111-111111111111/v2.0/

(Facultatif) Bloquer l’accès au nom de domaine par défaut

Une fois que vous avez ajouté le domaine personnalisé et configuré votre application, les utilisateurs peuvent toujours accéder au domaine <nom de locataire>. b2clogin.com. Pour empêcher l’accès, vous pouvez configurer la stratégie pour vérifier la demande d’autorisation « nom d’hôte » par rapport à une liste de domaines autorisés. Le nom d’hôte est le nom de domaine qui apparaît dans l’URL. Le nom d’hôte est disponible via des {Context:HostName}programmes de résolution de revendications. Vous pouvez ensuite présenter un message d’erreur personnalisé.

  1. Obtenez l’exemple d’une stratégie d’accès conditionnel qui vérifie le nom d’hôte à partir de GitHub.
  2. Dans chaque fichier, remplacez la chaîne yourtenant par le nom de votre locataire Azure AD B2C. Par exemple, si le nom de votre locataire B2C est contosob2c, toutes les instances de yourtenant.onmicrosoft.com deviennent contosob2c.onmicrosoft.com.
  3. Téléchargez les fichiers de stratégie dans l'ordre suivant : B2C_1A_TrustFrameworkExtensions_HostName.xml puis B2C_1A_signup_signin_HostName.xml.

(Facultatif) Configuration avancée d’Azure Front Door

Vous pouvez utiliser la configuration avancée d’Azure Front Door, comme Azure Web Application Firewall (WAF). Azure WAF protège de manière centralisée vos applications web contre les vulnérabilités et attaques courantes.

Lorsque vous utilisez des domaines personnalisés, tenez compte des points suivants :

  • La stratégie WAF doit être du même niveau que le profil Azure Front Door. Pour plus d’informations sur la création d’une stratégie WAF à utiliser avec Azure Front Door, consultez Configurer la stratégie WAF.
  • La fonctionnalité de règles managées WAF n’est pas officiellement prise en charge, car elle peut entraîner des faux positifs et empêcher les demandes légitimes de passer, donc utilisez uniquement des règles personnalisées WAF si elles répondent à vos besoins.

Dépannage

Azure AD B2C renvoie une erreur de page introuvable

  • Symptôme : vous configurez un domaine personnalisé, mais lorsque vous essayez de vous connecter au domaine personnalisé, vous recevez un message d’erreur HTTP 404.
  • Causes possibles : ce problème peut être lié à la configuration DNS ou à la configuration du serveur principal Azure Front Door.
  • Résolution :
    • Assurez-vous que le domaine personnalisé est inscrit et vérifié avec succès dans votre locataire Azure AD B2C.
    • Assurez-vous que le domaine personnalisé est correctement configuré. L’enregistrement CNAME de votre domaine personnalisé doit pointer vers l’hôte frontal par défaut d’Azure Front Door (par exemple, contoso.azurefd.net).

Nos services ne sont pas disponibles pour l’instant

  • Symptôme : vous configurez un domaine personnalisé, mais lorsque vous essayez de vous connecter au domaine personnalisé, vous obtenez le message d’erreur suivant : Nos services ne sont pas disponibles pour l’instant. Nous travaillons à la restauration la plus rapide possible de tous les services. Revenez vérifier bientôt.

  • Causes possibles : ce problème peut être lié à la configuration de la route Azure Front Door.

  • Résolution : Vérifiez l’état de la route par défaut. Si elle est désactivée, activez la route. La capture d’écran suivante montre à quoi devrait ressembler la route par défaut :

    Screenshot of the status of the default-route.

Azure AD B2C retourne un message indiquant que la ressource que vous recherchez a été supprimée, que son nom a changé ou qu’elle est temporairement indisponible.

  • Symptôme – Vous configurez un domaine personnalisé, mais lorsque vous essayez de vous connecter au domaine personnalisé, vous recevez le message d'erreur La ressource que vous recherchez a été supprimée, son nom a été modifié ou elle est temporairement indisponible.
  • Causes possibles – Ce problème peut être lié à la vérification de domaine personnalisé Microsoft Entra.
  • Résolution – Assurez-vous que le domaine personnalisé est inscrit et vérifié avec succès dans votre locataire Azure AD B2C.

Le fournisseur d’identité retourne une erreur

  • Symptôme : après avoir configuré un domaine personnalisé, vous êtes en mesure de vous connecter avec des comptes locaux. Toutefois, lorsque vous vous connectez avec des informations d’identification de fournisseurs d’identité sociale ou d’entreprise externes, le fournisseur d’identité présente un message d’erreur.
  • Causes possibles : lorsqu’Azure AD B2C amène l’utilisateur à se connecter avec un fournisseur d’identité fédérée, il spécifie l’URI de redirection. L’URI de redirection est le point de terminaison vers l’emplacement où le fournisseur d’identité retourne le jeton. L’URI de redirection est le même domaine que celui utilisé par votre application avec la requête d’autorisation. Si l’URI de redirection n’est pas encore inscrit dans le fournisseur d’identité, il se peut qu’il n’approuve pas le nouvel URI de redirection, ce qui génère un message d’erreur.
  • Résolution : suivez les étapes décrites dans Configurer votre fournisseur d’identité pour ajouter le nouvel URI de redirection.

Forum aux questions

Quand j’utilise Exécuter maintenant pour essayer d’exécuter ma stratégie, pourquoi ne puis-je pas voir le domaine personnalisé ?

Copiez l’URL, modifiez le nom de domaine manuellement, puis collez-le dans votre navigateur.

Quelle adresse IP est présentée à Azure AD B2C ? L’adresse IP de l’utilisateur ou l’adresse IP d’Azure Front Door ?

Azure Front Door transmet l’adresse IP d’origine de l’utilisateur. Il s’agit de l’adresse IP que vous verrez dans les rapports d’audit ou votre stratégie personnalisée.

Important

Si le client envoie un en-tête x-forwarded-for à Azure Front Door, Azure AD B2C utilise le x-forwarded-for de l’initiateur comme adresse IP de l’utilisateur pour l’évaluation de l’accès conditionnel et le programme de résolution des revendications {Context:IPAddress}.

Puis-je utiliser un pare-feu d’applications web (WAF) tiers avec B2C ?

Oui, Azure AD B2C prend en charge BYO-WAF (Bring Your Own Web Application Firewall). Toutefois, vous devez tester WAF pour vous assurer qu’il ne bloque pas ni ne signale les demandes légitimes aux flux d’utilisateurs Azure AD B2C ou aux stratégies personnalisées. Découvrez comment configurer Akamai WAF et Cloudflare WAF avec Azure AD B2C.

Mon instance Azure Front Door peut-elle être hébergée dans un abonnement différent ce celui de mon locataire Azure AD B2C ?

Oui, Azure Front Door peut se trouver dans un autre abonnement.

Étapes suivantes

En savoir plus sur les requêtes d’autorisation OAuth.