Compartilhar via


Defina um perfil técnico OpenId Connect em uma política personalizada do Azure Active Directory B2C

Observação

No Azure Active Directory B2C, as políticas personalizadas são projetadas principalmente para tratar de cenários complexos. Para a maioria dos cenários, recomendamos que você use fluxos de usuários predefinidos. Se você ainda não fez isso, saiba mais sobre o pacote de início de política personalizado em Introdução às políticas personalizadas no Active Directory B2C.

O Azure Active Directory B2C (Azure AD B2C) é compatível com o provedor de identidade do protocolo OpenID Connect. O OpenID Connect 1.0 define uma camada de identidade com base em OAuth 2.0 e representa a estado de última geração em protocolos de autenticação modernos. Com o perfil técnico do OpenID Connect, você pode federar com um provedor de identidade baseado no OpenID Connect, como a ID do Microsoft Entra. A Federação com um provedor de identidade permite que os usuários entrem com identidades sociais ou empresariais existentes.

Protocolo

O atributo Name do elemento Protocol precisa ser definido como OpenIdConnect. Por exemplo, o protocolo para o perfil técnico MSA-OIDC é OpenIdConnect:

<TechnicalProfile Id="MSA-OIDC">
  <DisplayName>Microsoft Account</DisplayName>
  <Protocol Name="OpenIdConnect" />
  ...

Declarações de entrada

Os elementos InputClaims e InputClaimsTransformations não são necessários. Mas talvez você queira enviar parâmetros adicionais para seu provedor de identidade. O exemplo a seguir adiciona o parâmetro de cadeia de caracteres de consulta domain_hint com o valor de contoso.com à solicitação de autorização.

<InputClaims>
  <InputClaim ClaimTypeReferenceId="domain_hint" DefaultValue="contoso.com" />
</InputClaims>

Declarações de saída

O elemento OutputClaims contém uma lista de declarações retornadas pelo provedor de identidade OpenID Connect. Talvez seja necessário mapear o nome da declaração definida em sua política para o nome definido no provedor de identidade. Você também pode incluir declarações que não são retornadas pelo provedor de identidade, desde que defina o atributo DefaultValue.

O elemento OutputClaimsTransformations pode conter uma coleção de elementos OutputClaimsTransformation usados para modificar as declarações de saída ou gerar novas declarações.

O exemplo a seguir mostra as declarações retornadas pelo provedor de identidade de Conta Microsoft:

  • A declaração sub que é mapeada para a declaração issuerUserId.
  • A declaração name que é mapeada para a declaração displayName.
  • O email sem mapeamento de nome.

O perfil técnico também retorna declarações que não são retornadas pelo provedor de identidade:

  • A declaração identityProvider que contém o nome do provedor de identidade.
  • A declaração authenticationSource com um valor padrão de socialIdpAuthentication.
<OutputClaims>
  <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="live.com" />
  <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
  <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
  <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
  <OutputClaim ClaimTypeReferenceId="email" />
</OutputClaims>

Metadados

Atributo Obrigatório Descrição
client_id Sim O identificador do aplicativo do provedor de identidade.
IdTokenAudience Não O público-alvo do id_token. Se for especificado, o Azure AD B2C verificará se a declaração aud em um token retornado pelo provedor de identidade é igual àquela especificada nos metadados do IdTokenAudience.
METADATA Sim Uma URL que aponta para um documento de configuração do provedor de identidade do OpenID Connect, que também é conhecido como ponto de extremidade de configuração bem conhecido do OpenID. A URL pode conter a expressão {tenant}, que é substituída pelo nome do locatário.
authorization_endpoint Não Uma URL que aponta para um ponto de extremidade da autorização de configuração do provedor de identidade do OpenID Connect. O valor dos metadados de authorization_endpoint tem precedência sobre o authorization_endpoint especificado no ponto de extremidade de configuração bem conhecido do OpenID. A URL pode conter a expressão {tenant}, que é substituída pelo nome do locatário.
end_session_endpoint Não O URL do ponto de extremidade da sessão. O valor dos metadados do end_session_endpoint tem precedência sobre o end_session_endpoint especificado no ponto de extremidade de configuração conhecido do OpenID.
emissor Não O identificador exclusivo de um provedor de identidade do OpenID Connect. O valor dos metadados do emissor tem precedência sobre o issuer especificado no ponto de extremidade de configuração bem conhecido do OpenID. Se for especificado, o Azure AD B2C verificará se a declaração iss em um token retornado pelo provedor de identidade é igual àquela especificada nos metadados do emissor.
ProviderName Não O nome do provedor de identidade.
response_types Não O tipo de resposta de acordo com a especificação do OpenID Connect Core 1.0. Valores possíveis: id_token, code ou token.
response_mode Não O método que o provedor de identidade usa para enviar o resultado de volta ao Azure AD B2C. Valores possíveis: query, form_post (padrão) ou fragment.
scope Não O escopo da solicitação definida de acordo com a especificação do OpenID Connect Core 1.0. Como openid, profile e email.
HttpBinding Não A associação HTTP esperada para o token de acesso e pontos de extremidade do token de declarações. Valores possíveis: GET ou POST.
ValidTokenIssuerPrefixes Não Uma chave que pode ser usada para entrar nos locatários ao usar um provedor de identidade multilocatário, como a ID do Microsoft Entra.
UsePolicyInRedirectUri Não Indica se deve ser usada uma política ao criar o URI de redirecionamento. Quando você configura seu aplicativo no provedor de identidade, precisa especificar o URI de redirecionamento. Os pontos de URI de redirecionamento para o Azure AD B2C, https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp. Se você especificar true, precisará adicionar um URI de redirecionamento a cada política que você usar. Por exemplo: https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/{policy-name}/oauth2/authresp.
MarkAsFailureOnStatusCode5xx Não Indica se uma solicitação para um serviço externo deverá ser marcada como uma falha se o código de status Http estiver no intervalo 5xx. O padrão é false.
DiscoverMetadataByTokenIssuer Não Indica se os metadados OIDC devem ser descobertos usando o emissor no token JWT. Se você precisar criar a URL do ponto de extremidade de metadados com base no emissor, defina-o como true.
IncludeClaimResolvingInClaimsHandling Não Em declarações de entrada e saída, especifica se a resolução de declarações está incluída no perfil técnico. Valores possíveis: true ou false (padrão). Se você quiser usar um resolvedor de declarações no perfil técnico, defina como true.
token_endpoint_auth_method Não Especifica como Azure AD B2C envia o cabeçalho de autenticação para o ponto de extremidade do token. Valores possíveis: client_secret_post (padrão) e client_secret_basic, private_key_jwt. Para obter mais informações, confira a seção autenticação de cliente do OpenID Connect.
token_signing_algorithm Não Especifica o algoritmo de assinatura a ser usado quando token_endpoint_auth_method é definido como private_key_jwt. Valores possíveis: RS256 (padrão) ou RS512.
SingleLogoutEnabled Não Indica se, durante a entrada, o perfil técnico tenta sair de provedores de identidade federada. Para obter mais informações, consulte Saída da sessão do Azure AD B2C. Valores possíveis: true (padrão) ou false.
ReadBodyClaimsOnIdpRedirect Não Defina como true para ler declarações do corpo da resposta no redirecionamento do provedor de identidade. Esses metadados são usados com o Apple ID, em que as declarações retornam no payload de resposta.
<Metadata>
  <Item Key="ProviderName">https://login.live.com</Item>
  <Item Key="METADATA">https://login.live.com/.well-known/openid-configuration</Item>
  <Item Key="response_types">code</Item>
  <Item Key="response_mode">form_post</Item>
  <Item Key="scope">openid profile email</Item>
  <Item Key="HttpBinding">POST</Item>
  <Item Key="UsePolicyInRedirectUri">false</Item>
  <Item Key="client_id">Your Microsoft application client ID</Item>
</Metadata>

Elementos da interface do usuário

As configurações a seguir podem ser usadas para configurar a mensagem de erro exibida após a falha. Os metadados devem ser configurados no perfil técnico do OpenID Connect. A mensagem de erro pode ser localizada.

Atributo Obrigatório Descrição
UserMessageIfClaimsPrincipalDoesNotExist Não A mensagem a exibir ao usuário se uma conta com o nome de usuário informado não for encontrada no diretório.
UserMessageIfInvalidPassword Não A mensagem a exibir ao usuário se a senha estiver incorreta.
UserMessageIfOldPasswordUsed Não A mensagem a exibir ao usuário se uma senha antiga for usada.

Chaves criptográficas

O elemento CryptographicKeys contém o seguinte atributo:

Atributo Obrigatório Descrição
client_secret Sim O segredo do cliente do aplicativo do provedor de identidade. Essa chave de criptografia será necessária somente se os metadados response_types estiverem definidos como code e token_endpoint_auth_method como client_secret_post ou client_secret_basic. Nesse caso, o Azure AD B2C faz outra chamada para trocar o código de autorização para um token de acesso. Se os metadados forem definidos como id_token, você poderá omitir a chave de criptografia.
assertion_signing_key Sim A chave privada RSA que será usada para assinar a instrução de declaração do cliente. Essa chave de criptografia será necessária somente se os metadados token_endpoint_auth_method forem configurados como private_key_jwt.

URI de redirecionamento

Ao configurar o URI de redirecionamento do seu provedor de identidade, insira https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp. Não se esqueça de substituir {your-tenant-name} pelo nome do locatário. O URI de redirecionamento deve ser todo em letras minúsculas.

Exemplos: