Mit Azure AD B2C über OpenID Connect verbinden

FoxIDs kann mit Azure AD B2C über OpenID Connect verbunden werden und damit Endbenutzer in einem Azure AD B2C tenant authentifizieren.

Integration konfigurieren

Dieses Kapitel beschreibt, wie Sie eine Verbindung mit OpenID Connect Authorization Code flow und PKCE konfigurieren, was der empfohlene OpenID Connect flow ist.

1 - Beginnen Sie mit der Erstellung einer OpenID Connect Authentifizierungsmethode in FoxIDs Control Client

  1. Fügen Sie den Namen hinzu
  2. Wählen Sie show advanced
  3. Wählen Sie tildes URL binding pattern

Redirect URLs lesen

Es ist nun möglich, Redirect URL, Post logout redirect URL und Front channel logout URL zu lesen.

2 - Gehen Sie dann zu Azure AD B2C und erstellen Sie das app profile

  1. Erstellen Sie ein app profile
  2. Das profile ergibt eine authority wie diese https://some-domain.b2clogin.com/some-domain.onmicrosoft.com/B2C_1A_SOME_SIGNIN_PROFILE/v2.0/, einschließlich des profile Namens

Wenn die authority in FoxIDs als Authentifizierungsmethode registriert wird, ruft FoxIDs den discovery endpoint der authority auf, der in diesem Fall https://some-domain.b2clogin.com/some-domain.onmicrosoft.com/B2C_1A_SOME_SIGNIN_PROFILE/v2.0/.well-known/openid-configuration ist

Wenn Sie eine discovery endpoint URL mit dem Azure AD B2C profile Namen im query string erhalten, z.B. ...?p=B2C_1A_SOME_SIGNIN_PROFILE, müssen Sie die URL Struktur ändern. Die vollständige URL lautet dann https://some-domain.b2clogin.com/some-domain.onmicrosoft.com/v2.0/.well-known/openid-configuration?p=B2C_1A_SOME_SIGNIN_PROFILE und die authority ist dann https://some-domain.b2clogin.com/some-domain.onmicrosoft.com/B2C_1A_SOME_SIGNIN_PROFILE/v2.0/, wobei der Azure AD B2C profile Name in den Pfad verschoben wird.

3 - Gehen Sie zurück zur FoxIDs Authentifizierungsmethode in FoxIDs Control Client

Azure AD B2C gibt standardmäßig kein access token in der Token Antwort zurück und ist damit nicht OpenID Connect Authorization Code flow konform. Sie müssen eine Azure AD B2C client ID als scope hinzufügen, damit ein access token zurückgegeben wird.

  1. Fügen Sie die authority hinzu, die https://some-domain.b2clogin.com/some-domain.onmicrosoft.com/B2C_1A_SOME_SIGNIN_PROFILE/v2.0/ ist
  2. Fügen Sie profile und email scopes hinzu (mögliche andere oder weitere scopes)
  3. Fügen Sie die Azure AD B2C client ID als custom SP client ID hinzu
  4. Fügen Sie die Azure AD B2C client ID als scope hinzu
  5. Fügen Sie den Azure AD B2C client secret Wert als client secret hinzu
  6. Wahrscheinlich müssen Sie die Verwendung von claims aus dem ID token wählen
  7. Fügen Sie die claims hinzu, die von der Authentifizierungsmethode an die Applikationsregistrierungen übertragen werden. Z.B. preferred_username, email, name, given_name, family_name, oid, ipaddr und ggf. access_token claim, um das Azure AD B2C access token an Applikationsregistrierungen zu übertragen
  8. Klicken Sie create

Das war's.

Die neue Authentifizierungsmethode kann nun als zulässige Authentifizierungsmethode in einer Applikationsregistrierung ausgewählt werden. Die Applikationsregistrierung kann die claims aus der Authentifizierungsmethode lesen. Es ist möglich, den access_token claim hinzuzufügen, um das Azure AD B2C access token als claim im ausgegebenen access token zu inkludieren.

Ihre Privatsphäre

Wir verwenden Cookies, um Ihre Erfahrung auf unseren Websites zu verbessern. Klicken Sie auf 'Alle Cookies akzeptieren', um der Verwendung von Cookies zuzustimmen. Um nicht notwendige Cookies abzulehnen, klicken Sie auf 'Nur notwendige Cookies'.

Weitere Informationen finden Sie in unserer Datenschutzerklärung