Definir um perfil técnico do OpenID Connect numa política personalizada do Azure Active Directory B2C
Nota
No Azure Active Directory B2C, as políticas personalizadas são concebidas principalmente para abordar cenários complexos. Para a maioria dos cenários, recomendamos que utilize fluxos de utilizador incorporados. Se ainda não o fez, saiba mais sobre o pacote de introdução de políticas personalizadas em Introdução às políticas personalizadas no Active Directory B2C.
O Azure Active Directory B2C (Azure AD B2C) fornece suporte para o fornecedor de identidade do protocolo OpenID Connect. O OpenID Connect 1.0 define uma camada de identidade sobre o OAuth 2.0 e representa o estado da arte nos protocolos de autenticação moderna. Com um perfil técnico do OpenID Connect, pode federar com um fornecedor de identidade baseado em OpenID Connect, como Microsoft Entra ID. A federação com um fornecedor de identidade permite que os utilizadores iniciem sessão com as identidades sociais ou empresariais existentes.
Protocolo
O atributo Nome do elemento Protocolo tem de ser definido como OpenIdConnect. Por exemplo, o protocolo para o perfil técnico MSA-OIDC é OpenIdConnect:
<TechnicalProfile Id="MSA-OIDC">
<DisplayName>Microsoft Account</DisplayName>
<Protocol Name="OpenIdConnect" />
...
Afirmações de entrada
Os elementos InputClaims e InputClaimsTransformations não são necessários. Contudo, poderá querer enviar parâmetros adicionais para o seu fornecedor de identidade. O exemplo seguinte adiciona o parâmetro domain_hint cadeia de consulta com o valor de ao pedido de contoso.com autorização.
<InputClaims>
<InputClaim ClaimTypeReferenceId="domain_hint" DefaultValue="contoso.com" />
</InputClaims>
Afirmações de saída
O elemento OutputClaims contém uma lista de afirmações devolvidas pelo fornecedor de identidade do OpenID Connect. Poderá ter de mapear o nome da afirmação definida na sua política para o nome definido no fornecedor de identidade. Também pode incluir afirmações que não são devolvidas pelo fornecedor de identidade, desde que defina o DefaultValue atributo.
O elemento OutputClaimsTransformations pode conter uma coleção de elementos OutputClaimsTransformation que são utilizados para modificar as afirmações de saída ou gerar novas.
O exemplo seguinte mostra as afirmações devolvidas pelo fornecedor de identidade da Conta Microsoft:
- A sub-afirmação mapeada para a afirmação issuerUserId .
- A afirmação de nome mapeada para a afirmação displayName .
- O e-mail sem mapeamento de nomes.
O perfil técnico também devolve afirmações que não são devolvidas pelo fornecedor de identidade:
- A afirmação identityProvider que contém o nome do fornecedor de identidade.
- A afirmação authenticationSource com um valor predefinido de socialIdpAuthentication.
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="live.com" />
<OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
<OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
<OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
<OutputClaim ClaimTypeReferenceId="email" />
</OutputClaims>
Metadados
| Atributo | Necessário | Descrição |
|---|---|---|
| client_id | Yes | O identificador da aplicação do fornecedor de identidade. |
| IdTokenAudience | No | O público do id_token. Se especificado, Azure AD B2C verifica se a aud afirmação num token devolvido pelo fornecedor de identidade é igual à especificada nos metadados IdTokenAudience. |
| METADADOS | Yes | Um URL que aponta para um documento de configuração do fornecedor de identidades do OpenID Connect, que também é conhecido como Ponto final de configuração bem conhecido do OpenID. O URL pode conter a {tenant} expressão, que é substituída pelo nome do inquilino. |
| authorization_endpoint | No | Um URL que aponta para um ponto final de autorização de configuração do fornecedor de identidades do OpenID Connect. O valor de authorization_endpoint metadados tem precedência sobre o authorization_endpoint especificado no ponto final de configuração bem conhecido do OpenID. O URL pode conter a {tenant} expressão, que é substituída pelo nome do inquilino. |
| end_session_endpoint | No | O URL do ponto final da sessão. O valor dos end_session_endpoint metadados tem precedência sobre o end_session_endpoint especificado no ponto final de configuração bem conhecido do OpenID. |
| issuer | No | O identificador exclusivo de um fornecedor de identidade do OpenID Connect. O valor dos metadados do emissor tem precedência sobre o issuer especificado no ponto final de configuração bem conhecido do OpenID. Se especificado, Azure AD B2C verifica se a iss afirmação num token devolvido pelo fornecedor de identidade é igual à especificada nos metadados do emissor. |
| ProviderName | No | O nome do fornecedor de identidade. |
| response_types | No | O tipo de resposta de acordo com a especificação OpenID Connect Core 1.0. Valores possíveis: id_token, codeou token. |
| response_mode | No | O método que o fornecedor de identidade utiliza para enviar o resultado de volta para Azure AD B2C. Valores possíveis: query, form_post (predefinição) ou fragment. |
| scope | No | O âmbito do pedido definido de acordo com a especificação OpenID Connect Core 1.0.
openidComo , profilee email. |
| HttpBinding | No | O enlace HTTP esperado para os pontos finais do token de acesso e do token de afirmações. Valores possíveis: GET ou POST. |
| ValidTokenIssuerPrefixes | No | Uma chave que pode ser utilizada para iniciar sessão em cada um dos inquilinos ao utilizar um fornecedor de identidade multi-inquilino, como Microsoft Entra ID. |
| UsePolicyInRedirectUri | No | Indica se deve utilizar uma política ao construir o URI de redirecionamento. Quando configurar a aplicação no fornecedor de identidade, tem de especificar o URI de redirecionamento. O URI de redirecionamento aponta para Azure AD B2C, https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp. Se especificar true, terá de adicionar um URI de redirecionamento para cada política que utilizar. Por exemplo: https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/{policy-name}/oauth2/authresp. |
| MarkAsFailureOnStatusCode5xx | No | Indica se um pedido para um serviço externo deve ser marcado como uma falha se o código de estado http estiver no intervalo 5xx. A predefinição é false. |
| DiscoverMetadataByTokenIssuer | No | Indica se os metadados OIDC devem ser detetados com o emissor no token JWT. Se precisar de criar o URL do ponto final de metadados com base no Emissor, defina-o como true. |
| IncludeClaimResolvingInClaimsHandling | No | Para afirmações de entrada e saída, especifica se a resolução de afirmações está incluída no perfil técnico. Valores possíveis: trueou false (predefinição). Se quiser utilizar uma resolução de afirmações no perfil técnico, defina esta opção como true. |
| token_endpoint_auth_method | No | Especifica como Azure AD B2C envia o cabeçalho de autenticação para o ponto final do token. Valores possíveis: client_secret_post (predefinição) e client_secret_basic, private_key_jwt. Para obter mais informações, consulte a secção Autenticação de cliente do OpenID Connect. |
| token_signing_algorithm | No | Especifica o algoritmo de assinatura a utilizar quando token_endpoint_auth_method estiver definido como private_key_jwt. Valores possíveis: RS256 (predefinição) ou RS512. |
| SingleLogoutEnabled | No | Indica se durante o início de sessão o perfil técnico tenta terminar sessão a partir de fornecedores de identidade federados. Para obter mais informações, veja Azure AD início de sessão B2C. Valores possíveis: true (predefinição) ou false. |
| ReadBodyClaimsOnIdpRedirect | No | Defina como para true ler afirmações do corpo de resposta no redirecionamento do fornecedor de identidade. Estes metadados são utilizados com o ID Apple, onde as afirmações devolvem no payload de resposta. |
<Metadata>
<Item Key="ProviderName">https://login.live.com</Item>
<Item Key="METADATA">https://login.live.com/.well-known/openid-configuration</Item>
<Item Key="response_types">code</Item>
<Item Key="response_mode">form_post</Item>
<Item Key="scope">openid profile email</Item>
<Item Key="HttpBinding">POST</Item>
<Item Key="UsePolicyInRedirectUri">false</Item>
<Item Key="client_id">Your Microsoft application client ID</Item>
</Metadata>
Elementos da IU
As seguintes definições podem ser utilizadas para configurar a mensagem de erro apresentada após a falha. Os metadados devem ser configurados no perfil técnico do OpenID Connect. As mensagens de erro podem ser localizadas.
| Atributo | Necessário | Descrição |
|---|---|---|
| UserMessageIfClaimsPrincipalDoesNotExist | No | A mensagem a apresentar ao utilizador se uma conta com o nome de utilizador fornecido não for encontrada no diretório. |
| UserMessageIfInvalidPassword | No | A mensagem a apresentar ao utilizador se a palavra-passe estiver incorreta. |
| UserMessageIfOldPasswordUsed | No | A mensagem a apresentar ao utilizador se for utilizada uma palavra-passe antiga. |
Teclas criptográficas
O elemento CryptographicKeys contém o seguinte atributo:
| Atributo | Necessário | Descrição |
|---|---|---|
| client_secret | Yes | O segredo do cliente da aplicação do fornecedor de identidade. Esta chave criptográfica só é necessária se os metadados de response_types estiverem definidos como code e token_endpoint_auth_method estiver definido como client_secret_post ou client_secret_basic. Neste caso, Azure AD B2C faz outra chamada para trocar o código de autorização por um token de acesso. Se os metadados estiverem definidos como id_token pode omitir a chave criptográfica. |
| assertion_signing_key | Yes | A chave privada RSA que será utilizada para assinar a asserção do cliente. Esta chave criptográfica só é necessária se o token_endpoint_auth_method metadados estiver definido como private_key_jwt. |
URI de Redirecionamento
Quando configurar o URI de redirecionamento do seu fornecedor de identidade, introduza https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp. Certifique-se de que substitui {your-tenant-name} pelo nome do inquilino. O URI de redirecionamento tem de estar em todas as minúsculas.
Exemplos: