Verbind Azure AD B2C met OpenID Connect

FoxIDs kan met Azure AD B2C worden verbonden via OpenID Connect en daardoor eindgebruikers authenticeren in een Azure AD B2C tenant.

Integratie configureren

Dit hoofdstuk beschrijft hoe je een verbinding configureert met OpenID Connect Authorization Code flow en PKCE, wat de aanbevolen OpenID Connect flow is.

1 - Begin met het maken van een OpenID Connect authenticatiemethode in FoxIDs Control Client

  1. Voeg de naam toe
  2. Selecteer show advanced
  3. Selecteer tildes URL binding pattern

Lees redirect URLs

Het is nu mogelijk om Redirect URL, Post logout redirect URL en Front channel logout URL te lezen.

2 - Ga daarna naar Azure AD B2C en maak het app profiel

  1. Maak een app profiel
  2. Het profiel resulteert in een authority zoals https://some-domain.b2clogin.com/some-domain.onmicrosoft.com/B2C_1A_SOME_SIGNIN_PROFILE/v2.0/, inclusief de profielnaam

Wanneer de authority in FoxIDs wordt geregistreerd als authenticatiemethode, roept FoxIDs het discovery endpoint op van de authority, in dit geval https://some-domain.b2clogin.com/some-domain.onmicrosoft.com/B2C_1A_SOME_SIGNIN_PROFILE/v2.0/.well-known/openid-configuration

Als je een discovery endpoint URL krijgt met de Azure AD B2C profielnaam in de query string zoals ...?p=B2C_1A_SOME_SIGNIN_PROFILE, moet je de URL structuur aanpassen. De volledige URL ziet er dan zo uit: https://some-domain.b2clogin.com/some-domain.onmicrosoft.com/v2.0/.well-known/openid-configuration?p=B2C_1A_SOME_SIGNIN_PROFILE en de authority is dan https://some-domain.b2clogin.com/some-domain.onmicrosoft.com/B2C_1A_SOME_SIGNIN_PROFILE/v2.0/ waarbij de Azure AD B2C profielnaam naar het pad is verplaatst.

3 - Ga terug naar de FoxIDs authenticatiemethode in FoxIDs Control Client

Azure AD B2C retourneert standaard geen access token in de token response en is daardoor niet OpenID Connect Authorization Code flow compliant. Je moet een Azure AD B2C client ID als scope toevoegen om een access token te ontvangen.

  1. Voeg de authority toe, die is https://some-domain.b2clogin.com/some-domain.onmicrosoft.com/B2C_1A_SOME_SIGNIN_PROFILE/v2.0/
  2. Voeg profile en email scopes toe (mogelijk andere of meer scopes)
  3. Voeg de Azure AD B2C client ID toe als custom SP client ID
  4. Voeg de Azure AD B2C client ID toe als scope
  5. Voeg de Azure AD B2C client secret waarde toe als client secret
  6. Je moet waarschijnlijk kiezen om claims uit het ID token te gebruiken
  7. Voeg de claims toe die van de authenticatiemethode naar de applicatieregistraties worden overgedragen. Bijv. preferred_username, email, name, given_name, family_name, oid, ipaddr en eventueel de access_token claim om het Azure AD B2C access token door te geven
  8. Klik create

Dat is alles.

De nieuwe authenticatiemethode kan nu worden geselecteerd als toegestane authenticatiemethode in een applicatieregistratie. De applicatieregistratie kan de claims lezen uit de authenticatiemethode. Het is mogelijk om de access_token claim toe te voegen om het Azure AD B2C access token op te nemen als claim in het uitgegeven access token.

Uw privacy

We gebruiken cookies om uw ervaring op onze websites te verbeteren. Klik op de knop 'Alle cookies accepteren' om akkoord te gaan met het gebruik van cookies. Om niet-noodzakelijke cookies te weigeren, klikt u op 'Alleen noodzakelijke cookies'.

Bezoek onze privacyverklaring voor meer informatie