Definieren eines technischen PhoneFactor-Profils in einer benutzerdefinierten Richtlinie in Azure Active Directory B2C
Hinweis
In Azure Active Directory B2C sind benutzerdefinierte Richtlinien in erster Linie für komplexe Szenarien konzipiert. Für die meisten Szenarien empfehlen wir die Verwendung von integrierten Benutzerflows. Informieren Sie sich, sofern noch nicht geschehen, unter Tutorial: Erstellen von Benutzerflows und benutzerdefinierten Richtlinien in Azure Active Directory B2C über das Starter Pack für benutzerdefinierte Richtlinien.
Azure Active Directory B2C (Azure AD B2C) bietet Unterstützung für das Registrieren und Überprüfen von Telefonnummern. Dieses technische Profil hat folgende Eigenschaften:
- Stellt eine Benutzeroberfläche für die Interaktion mit dem Benutzer bereit, um eine Telefonnummer zu überprüfen oder zu registrieren.
- Zum Überprüfen der Telefonnummer werden sowohl Telefonanrufe als auch Textnachrichten unterstützt.
- Mehrere Telefonnummern werden unterstützt. Der Benutzer kann eine der Telefonnummern zum Überprüfen auswählen.
- Gibt einen Anspruch zurück, der angibt, ob der Benutzer eine neue Telefonnummer angegeben hat. Mithilfe dieses Anspruchs können Sie entscheiden, ob die Telefonnummer im Azure AD B2C-Benutzerprofil gespeichert werden soll.
- Zum Steuern von Aussehen und Verhalten werden Inhaltsdefinitionen verwendet.
Protocol
Das Name-Attribut des Protocol-Elements muss auf Proprietary festgelegt werden. Das handler-Attribut muss den vollqualifizierten Namen der Protokollhandlerassembly enthalten, die von Azure AD B2C für PhoneFactor verwendet wird: Web.TPEngine.Providers.PhoneFactorProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null
Das folgende Beispiel enthält ein technisches PhoneFactor-Profil für Registrierung und Überprüfung:
<TechnicalProfile Id="PhoneFactor-InputOrVerify">
<DisplayName>PhoneFactor</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.PhoneFactorProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
</TechnicalProfile>
Eingabeanspruchstransformationen
Das InputClaimsTransformations-Element kann eine Sammlung von Eingabeanspruchstransformationen enthalten, die zum Ändern des Eingabeanspruchs oder zum Generieren eines neuen Eingabeanspruchs verwendet werden. Die folgende Eingabeanspruchstransformation generiert einen UserId-Anspruch, der später in der Sammlung von Eingabeansprüchen verwendet wird.
<InputClaimsTransformations>
<InputClaimsTransformation ReferenceId="CreateUserIdForMFA" />
</InputClaimsTransformations>
Eingabeansprüche
Das InputClaims-Element muss die folgenden Ansprüche enthalten. Sie können auch den Namen Ihres Anspruchs dem im technischen PhoneFactor-Profil definierten Namen zuordnen.
| Datentyp | Erforderlich | Beschreibung |
|---|---|---|
| Zeichenfolge | Ja | Ein eindeutiger Bezeichner für den Benutzer. Der Anspruchsname oder PartnerClaimType muss auf UserId eingestellt sein. Dieser Anspruch sollte keine personenbezogenen Informationen enthalten. |
| Zeichenfolge | Ja | Liste der Anspruchstypen. Jeder Anspruch enthält eine Telefonnummer. Wenn einer der Eingabeansprüche keine Telefonnummer enthält, wird der Benutzer aufgefordert, eine neue Telefonnummer zu registrieren und zu überprüfen. Die validierte Telefonnummer wird als Ausgabeanspruch zurückgegeben. Wenn einer der Eingabeansprüche eine Telefonnummer enthält, wird der Benutzer aufgefordert, sie zu überprüfen. Wenn mehrere Eingabeansprüche eine Telefonnummer enthalten, wird der Benutzer aufgefordert, eine der Telefonnummern auszuwählen und zu überprüfen. |
Das folgende Beispiel veranschaulicht die Verwendung mehrerer Telefonnummern. Weitere Informationen finden Sie unter Beispielrichtlinie.
<InputClaims>
<InputClaim ClaimTypeReferenceId="userIdForMFA" PartnerClaimType="UserId" />
<InputClaim ClaimTypeReferenceId="strongAuthenticationPhoneNumber" />
<InputClaim ClaimTypeReferenceId="secondaryStrongAuthenticationPhoneNumber" />
</InputClaims>
Ausgabeansprüche
Das OutputClaims-Element enthält eine Liste von Ansprüchen, die vom technischen PhoneFactor-Profil zurückgegeben werden.
| Datentyp | Erforderlich | Beschreibung |
|---|---|---|
| boolean | Ja | Gibt an, ob die neue Telefonnummer vom Benutzer eingegeben wurde. Der Anspruchsname oder PartnerClaimType muss auf newPhoneNumberEntered eingestellt sein. |
| Zeichenfolge | Ja | Die überprüfte Telefonnummer. Der Anspruchsname oder PartnerClaimType muss auf Verified.OfficePhone eingestellt sein. |
Das OutputClaimsTransformations-Element enthält ggf. eine Sammlung von OutputClaimsTransformation-Elementen, die zum Ändern vorhandener oder zum Generieren neuer Ausgabeansprüche verwendet werden.
Kryptografische Schlüssel
Das Element CryptographicKeys wird nicht verwendet.
Metadaten
| attribute | Erforderlich | BESCHREIBUNG |
|---|---|---|
| ContentDefinitionReferenceId | Ja | Der Bezeichner der Inhaltsdefinition, die diesem technischen Profil zugeordnet ist. |
| ManualPhoneNumberEntryAllowed | Nein | Gibt an, ob ein Benutzer eine Telefonnummer manuell eingeben darf oder nicht. Mögliche Werte sind true oder false (Standardwert). |
| setting.authenticationMode | Nein | Die Methode zum Überprüfen der Telefonnummer. Mögliche Werte: sms, phone oder mixed (Standardwert). |
| setting.autodial | Nein | Gibt an, ob das technische Profil eine automatische Anwahl durchführen oder automatisch eine SMS senden soll. Mögliche Werte sind true oder false (Standardwert). Für die automatische Anwahl müssen die setting.authenticationMode-Metadaten auf sms oder phone eingestellt sein. Die Sammlung der Eingabeansprüche muss eine einzelne Telefonnummer haben. |
| setting.autosubmit | Nein | Gibt an, ob das technische Profil das Formular für die einmalige Kennworteingabe automatisch übermitteln soll. Mögliche Werte sind true (Standard) oder false. Wenn die automatische Übermittlung deaktiviert ist, muss der Benutzer eine Schaltfläche auswählen, um die User Journey fortzusetzen. |
| setting.enableCaptchaChallenge | Nein | Gibt an, ob CAPTCHA-Abfragecode in einem MFA-Fluss angezeigt werden soll. Mögliche Werte: true oder false (Standardwert). Damit diese Einstellung funktioniert, muss auf das CAPTCHA-Anzeigesteuerelement in den Anzeigeansprüchen des technischen Profils des Telefonfaktors verwiesen werden. DAS CAPTCHA-Feature befindet sich in der öffentlichen Vorschau. |
Benutzeroberflächenelemente
Die Benutzeroberflächenelemente auf der PhoneFactor-Authentifizierungsseite können lokalisiert werden.
Nächste Schritte
- Überprüfen Sie Social Media- und lokale Konten mit dem MFA Starter Pack.