Scrivere i primi criteri personalizzati di Azure Active Directory B2C - Hello World!
Nell'applicazione è possibile usare i flussi utente che consentono agli utenti di iscriversi, accedere o gestire il proprio profilo. Quando i flussi utente non coprono tutte le esigenze aziendali specifiche, è possibile usare criteri personalizzati.
Anche se è possibile usare il pacchetto di avvio dei criteri personalizzati predefinito per scrivere criteri personalizzati, è importante comprendere come viene compilato un criterio personalizzato. Questo articolo illustra come creare il primo criterio personalizzato da zero.
Prerequisiti
In assenza di un tenant, creare un tenant di Azure AD B2C collegato alla sottoscrizione di Azure.
Registrare un'applicazione Web e abilitare la concessione implicita del token ID. Per l'URI di reindirizzamento, usare https://jwt.ms.
Nel computer deve essere installato Visual Studio Code (VS Code ).
Nota
Questo articolo fa parte della serie di procedure Creare ed eseguire criteri personalizzati in Azure Active Directory B2C. È consigliabile iniziare questa serie dal primo articolo.
Passaggio 1: Configurare le chiavi di firma e crittografia
Se non è già stato fatto, creare le chiavi di crittografia seguenti. Per automatizzare la procedura dettagliata seguente, visitare l'app di installazione di IEF e seguire le istruzioni:
Usare la procedura descritta in Aggiungere chiavi di firma e crittografia per le applicazioni Identity Experience Framework per creare la chiave di firma.
Usare la procedura descritta in Aggiungere chiavi di firma e crittografia per le applicazioni Identity Experience Framework per creare la chiave di crittografia.
Passaggio 2: Compilare il file di criteri personalizzato
In VS Code creare e aprire il file
ContosoCustomPolicy.XML
.Nel file
ContosoCustomPolicy.XML
aggiungere il codice seguente:<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <TrustFrameworkPolicy xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns="http://schemas.microsoft.com/online/cpim/schemas/2013/06" PolicySchemaVersion="0.3.0.0" TenantId="yourtenant.onmicrosoft.com" PolicyId="B2C_1A_ContosoCustomPolicy" PublicPolicyUri="http://yourtenant.onmicrosoft.com/B2C_1A_ContosoCustomPolicy"> <BuildingBlocks> <!-- Building Blocks Here--> </BuildingBlocks> <ClaimsProviders> <!-- Claims Providers Here--> </ClaimsProviders> <UserJourneys> <!-- User Journeys Here--> </UserJourneys> <RelyingParty> <!-- Relying Party Here that's your policy’s entry point Specify the User Journey to execute Specify the claims to include in the token that is returned when the policy runs --> </RelyingParty> </TrustFrameworkPolicy>
Sostituire
yourtenant
con la parte del sottodominio del nome del tenant, ad esempiocontoso
. Informazioni su come ottenere il nome del tenant.Gli elementi XML definiscono l'elemento di primo livello
TrustFrameworkPolicy
di un file di criteri con l'ID criterio e il nome del tenant. L'elemento TrustFrameworkPolicy contiene altri elementi XML che verranno usati in questa serie.Per dichiarare un'attestazione, aggiungere il codice seguente nella
BuildingBlocks
sezione delContosoCustomPolicy.XML
file:<ClaimsSchema> <ClaimType Id="objectId"> <DisplayName>unique object Id for subject of the claims being returned</DisplayName> <DataType>string</DataType> </ClaimType> <ClaimType Id="message"> <DisplayName>Will hold Hello World message</DisplayName> <DataType>string</DataType> </ClaimType> </ClaimsSchema>
Un'attestazione è simile a una variabile. La dichiarazione dell'attestazione mostra anche il tipo di dati dell'attestazione.
ClaimsProviders
Nella sezione delContosoCustomPolicy.XML
file aggiungere il codice seguente:<ClaimsProvider> <DisplayName>Token Issuer</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="JwtIssuer"> <DisplayName>JWT Issuer</DisplayName> <Protocol Name="None" /> <OutputTokenFormat>JWT</OutputTokenFormat> <Metadata> <Item Key="client_id">{service:te}</Item> <Item Key="issuer_refresh_token_user_identity_claim_type">objectId</Item> <Item Key="SendTokenResponseBodyWithJsonNumbers">true</Item> </Metadata> <CryptographicKeys> <Key Id="issuer_secret" StorageReferenceId="B2C_1A_TokenSigningKeyContainer" /> <Key Id="issuer_refresh_token_key" StorageReferenceId="B2C_1A_TokenEncryptionKeyContainer" /> </CryptographicKeys> </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider> <ClaimsProvider> <!-- The technical profile(s) defined in this section is required by the framework to be included in all custom policies. --> <DisplayName>Trustframework Policy Engine TechnicalProfiles</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="TpEngine_c3bd4fe2-1775-4013-b91d-35f16d377d13"> <DisplayName>Trustframework Policy Engine Default Technical Profile</DisplayName> <Protocol Name="None" /> <Metadata> <Item Key="url">{service:te}</Item> </Metadata> </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>
È stata dichiarata un'autorità emittente di token JWT.
CryptographicKeys
Nella sezione, se sono stati usati nomi diversi per configurare le chiavi di firma e crittografia nel passaggio 1, assicurarsi di usare il valore corretto per .StorageReferenceId
UserJourneys
Nella sezione delContosoCustomPolicy.XML
file aggiungere il codice seguente:<UserJourney Id="HelloWorldJourney"> <OrchestrationSteps> <OrchestrationStep Order="1" Type="SendClaims" CpimIssuerTechnicalProfileReferenceId="JwtIssuer" /> </OrchestrationSteps> </UserJourney>
È stato aggiunto un UserJourney. Il percorso utente specifica la logica di business che l'utente finale passa durante l'elaborazione di una richiesta da parte di Azure AD B2C. Questo percorso utente ha un solo passaggio che rilascia un token JTW con le attestazioni che verranno definite nel passaggio successivo.
RelyingParty
Nella sezione delContosoCustomPolicy.XML
file aggiungere il codice seguente:<DefaultUserJourney ReferenceId="HelloWorldJourney"/> <TechnicalProfile Id="HelloWorldPolicyProfile"> <DisplayName>Hello World Policy Profile</DisplayName> <Protocol Name="OpenIdConnect" /> <OutputClaims> <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub" DefaultValue="abcd-1234-efgh-5678-ijkl-etc."/> <OutputClaim ClaimTypeReferenceId="message" DefaultValue="Hello World!"/> </OutputClaims> <SubjectNamingInfo ClaimType="sub" /> </TechnicalProfile>
La sezione RelyingParty è il punto di ingresso del criterio. Specifica l'oggetto UserJourney da eseguire e le attestazioni da includere nel token restituito durante l'esecuzione dei criteri.
Al termine del passaggio 2, il ContosoCustomPolicy.XML
file dovrebbe essere simile al codice seguente:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<TrustFrameworkPolicy xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns="http://schemas.microsoft.com/online/cpim/schemas/2013/06" PolicySchemaVersion="0.3.0.0" TenantId="Contosob2c2233.onmicrosoft.com" PolicyId="B2C_1A_ContosoCustomPolicy" PublicPolicyUri="http://Contosob2c2233.onmicrosoft.com/B2C_1A_ContosoCustomPolicy">
<BuildingBlocks>
<ClaimsSchema>
<ClaimType Id="objectId">
<DisplayName>unique object Id for subject of the claims being returned</DisplayName>
<DataType>string</DataType>
</ClaimType>
<ClaimType Id="message">
<DisplayName>Will hold Hello World message</DisplayName>
<DataType>string</DataType>
</ClaimType>
</ClaimsSchema>
</BuildingBlocks>
<ClaimsProviders><!--Claims Providers Here-->
<ClaimsProvider>
<DisplayName>Token Issuer</DisplayName>
<TechnicalProfiles>
<TechnicalProfile Id="JwtIssuer">
<DisplayName>JWT Issuer</DisplayName>
<Protocol Name="None"/>
<OutputTokenFormat>JWT</OutputTokenFormat>
<Metadata>
<Item Key="client_id">{service:te}</Item>
<Item Key="issuer_refresh_token_user_identity_claim_type">objectId</Item>
<Item Key="SendTokenResponseBodyWithJsonNumbers">true</Item>
</Metadata>
<CryptographicKeys>
<Key Id="issuer_secret" StorageReferenceId="B2C_1A_TokenSigningKeyContainer"/>
<Key Id="issuer_refresh_token_key" StorageReferenceId="B2C_1A_TokenEncryptionKeyContainer"/>
</CryptographicKeys>
</TechnicalProfile>
</TechnicalProfiles>
</ClaimsProvider>
<ClaimsProvider>
<DisplayName>Trustframework Policy Engine TechnicalProfiles</DisplayName>
<TechnicalProfiles>
<TechnicalProfile Id="TpEngine_c3bd4fe2-1775-4013-b91d-35f16d377d13">
<DisplayName>Trustframework Policy Engine Default Technical Profile</DisplayName>
<Protocol Name="None" />
<Metadata>
<Item Key="url">{service:te}</Item>
</Metadata>
</TechnicalProfile>
</TechnicalProfiles>
</ClaimsProvider>
</ClaimsProviders>
<UserJourneys>
<UserJourney Id="HelloWorldJourney">
<OrchestrationSteps>
<OrchestrationStep Order="1" Type="SendClaims" CpimIssuerTechnicalProfileReferenceId="JwtIssuer" />
</OrchestrationSteps>
</UserJourney>
</UserJourneys>
<RelyingParty><!--
Relying Party Here that's your policy’s entry point
Specify the User Journey to execute
Specify the claims to include in the token that is returned when the policy runs
-->
<DefaultUserJourney ReferenceId="HelloWorldJourney"/>
<TechnicalProfile Id="HelloWorldPolicyProfile">
<DisplayName>Hello World Policy Profile</DisplayName>
<Protocol Name="OpenIdConnect"/>
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub" DefaultValue="abcd-1234-efgh-5678-ijkl-etc."/>
<OutputClaim ClaimTypeReferenceId="message" DefaultValue="Hello World!"/>
</OutputClaims>
<SubjectNamingInfo ClaimType="sub"/>
</TechnicalProfile>
</RelyingParty>
</TrustFrameworkPolicy>
Passaggio 3 - Caricare un file di criteri personalizzato
- Accedi al portale di Azure.
- Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant di Azure AD B2C dal menu Directory e sottoscrizioni.
- Nel portale di Azure cercare e selezionare Azure AD B2C.
- Nel menu a sinistra, in Criteri, selezionare Framework esperienza di gestione delle identità.
- Selezionare Carica criteri personalizzati, selezionare e quindi caricare il
ContosoCustomPolicy.XML
file.
Dopo aver caricato il file, Azure AD B2C aggiunge il prefisso B2C_1A_
, in modo che i nomi risultino simili a B2C_1A_CONTOSOCUSTOMPOLICY.
Passaggio 4- Testare i criteri personalizzati
- In Criteri personalizzati selezionare B2C_1A_CONTOSOCUSTOMPOLICY.
- Per Selezionare l'applicazione nella pagina di panoramica dei criteri personalizzati, selezionare l'applicazione Web, ad esempio webapp1 registrata in precedenza. Assicurarsi che il valore Select reply URL (Seleziona URL di risposta) sia impostato su
https://jwt.ms
. - Selezionare Il pulsante Esegui adesso .
Al termine dell'esecuzione del criterio, si viene reindirizzati a https://jwt.ms
e viene visualizzato un token JWT decodificato. È simile al frammento di token JWT seguente:
{
"typ": "JWT",
"alg": "RS256",
"kid": "pxLOMWFg...."
}.{
...
"sub": "abcd-1234-efgh-5678-ijkl-etc.",
...
"acr": "b2c_1a_contosocustompolicy",
...
"message": "Hello World!"
}.[Signature]
Si notino le message
attestazioni e sub
impostate come attestazioni di output nella RelyingParty
sezione .
Passaggi successivi
In questo articolo sono state apprese e usate quattro sezioni incluse in un criterio personalizzato di Azure AD B2C. Queste sezioni vengono aggiunte come elementi figlio dell'elemento TrustFrameworkPolicy
radice:
- BuildingBlocks
- ClaimsProviders
- UserJourneys
- RelyingParty
A questo punto, vedere:
Come raccogliere e usare gli input utente usando criteri personalizzati.
Come dichiarare un'attestazione di criteri personalizzata.
Informazioni sul tipo di dati delle attestazioni dei criteri personalizzati.
Informazioni sui tipi di input utente dei criteri personalizzati.