Connect to Azure AD B2C with OpenID Connect

O FoxIDs pode ser ligado ao Azure AD B2C com OpenID Connect e, assim, autenticar utilizadores finais num tenant Azure AD B2C.

Configure integration

Este capítulo descreve como configurar uma ligação com OpenID Connect Authorization Code flow e PKCE, que é o fluxo OpenID Connect recomendado.

1 - Comece por criar um método de autenticação OpenID Connect no FoxIDs Control Client

  1. Adicione o nome
  2. Selecione show advanced
  3. Selecione tildes URL binding pattern

Read the redirect URLs

Agora é possível ler o Redirect URL, o Post logout redirect URL e o Front channel logout URL.

2 - Depois vá ao Azure AD B2C e crie o perfil da app

  1. Crie o perfil da app
  2. O perfil irá resultar numa authority como esta https://some-domain.b2clogin.com/some-domain.onmicrosoft.com/B2C_1A_SOME_SIGNIN_PROFILE/v2.0/, incluindo o nome do perfil

Quando a authority é registada no FoxIDs como método de autenticação, o FoxIDs irá chamar o discovery endpoint na authority, que neste caso será https://some-domain.b2clogin.com/some-domain.onmicrosoft.com/B2C_1A_SOME_SIGNIN_PROFILE/v2.0/.well-known/openid-configuration

Se receber um URL de discovery endpoint formatado com o nome do perfil Azure AD B2C na query string desta forma ...?p=B2C_1A_SOME_SIGNIN_PROFILE, tem de alterar a estrutura do URL.
O URL completo ficaria assim https://some-domain.b2clogin.com/some-domain.onmicrosoft.com/v2.0/.well-known/openid-configuration?p=B2C_1A_SOME_SIGNIN_PROFILE e a authority passa então a ser https://some-domain.b2clogin.com/some-domain.onmicrosoft.com/B2C_1A_SOME_SIGNIN_PROFILE/v2.0/, onde o nome do perfil Azure AD B2C é movido para um elemento de caminho no URL.

3 - Volte ao método de autenticação FoxIDs no FoxIDs Control Client

O Azure AD B2C, por predefinição, não devolve um access token na token response e, por isso, não está em conformidade com OpenID Connect Authorization Code flow. Tem de adicionar um client ID Azure AD B2C como scope para que seja devolvido um access token.

  1. Adicione a authority, que é https://some-domain.b2clogin.com/some-domain.onmicrosoft.com/B2C_1A_SOME_SIGNIN_PROFILE/v2.0/
  2. Adicione os scopes profile e email, eventualmente outros ou mais scopes
  3. Adicione o client ID Azure AD B2C como custom SP client ID
  4. Adicione o client ID Azure AD B2C como scope
  5. Adicione o valor do client secret Azure AD B2C como client secret
  6. Provavelmente / possivelmente precisa de selecionar o uso de claims do ID token
  7. Adicione os claims que serão transferidos do método de autenticação para os registos de aplicação. Por exemplo, preferred_username, email, name, given_name, family_name, oid, ipaddr e possivelmente o claim access_token para transferir o access token Azure AD B2C para os registos de aplicação
  8. Clique em create

É isso, terminou.

O novo método de autenticação pode agora ser selecionado como método de autenticação permitido num registo de aplicação.
O registo de aplicação pode ler os claims do método de autenticação. É possível adicionar o claim access_token para incluir o access token Azure AD B2C como claim no access token emitido.

A sua privacidade

A sua privacidade

Usamos cookies para melhorar a sua experiência nos nossos sites. Clique no botão 'Aceitar todos os cookies' para concordar com a utilização de cookies. Para recusar cookies não essenciais, clique em 'Apenas cookies necessários'.

Visite a nossa página de Política de Privacidade para saber mais