通过

Azure Active Directory B2C 的新应用注册体验

重要

自 2025 年 5 月 1 日起,Azure AD B2C 将不再可供新客户购买。 在我们的常见问题解答中了解详细信息

Azure Active Directory B2C(Azure AD B2C)的新 应用注册 体验现已正式发布。 如果更熟悉注册 Azure AD B2C 应用程序 的应用程序 体验,请参阅此处的“旧体验”,本指南将开始使用新体验。

概述

以前,必须使用旧版体验将 Azure AD B2C 面向使用者的应用程序与其余应用分开管理。 这意味着 Azure 中不同位置的不同应用创建体验。

新体验显示所有 Azure AD B2C 应用注册,并在一个位置Microsoft Entra 应用注册,并提供一致的方式来管理它们。 从创建面向客户的应用到使用 Microsoft Graph 权限管理应用进行资源管理,只需了解一种方法即可执行作。

可以通过从 Azure AD B2C 或 Azure 门户中的 Microsoft Entra ID 服务导航到 Azure AD B2C 租户中的应用注册,从而获得新体验。

Azure AD B2C 应用注册体验基于任何Microsoft Entra 租户的常规 应用注册体验 ,但专为 Azure AD B2C 租户量身定做。

什么不改变?

  • 可以在新体验中 as-is 找到应用程序和相关配置。 无需再次注册应用程序,应用程序的用户无需再次登录。

注释

若要查看以前创建的所有应用程序,请导航到 “应用注册 ”边栏选项卡,然后选择“ 所有应用程序 ”选项卡。这将显示在旧体验中创建的应用、新体验以及Microsoft Entra 服务中创建的应用。

关键新功能

  • 统一的应用列表显示所有使用 Azure AD B2C 进行身份验证的应用程序,并在一个方便的位置Microsoft Entra ID。 此外,还可以利用已可用于 Microsoft Entra 应用程序的功能,包括 日期创建证书和机密 状态、搜索栏等。

  • 通过组合应用注册 ,你可以快速注册应用,无论是面向客户的应用还是应用来访问 Microsoft Graph。

  • 终结点 ”窗格可让你快速识别方案的相关终结点,包括 OpenID 连接配置、SAML 元数据、Microsoft图形 API 和 OAuth 2.0 用户流终结点

  • API 权限公开 API 提供了更广泛的范围、权限和许可管理。 现在可以向应用分配 MS Graph 权限。

  • 所有者清单 现在可用于使用 Azure AD B2C 进行身份验证的应用。 可以使用 清单编辑器为注册添加所有者并直接编辑应用程序属性。

新支持的帐户类型

在新体验中,从以下选项中选择支持帐户类型:

  • 仅此组织目录中的帐户
  • 任何组织目录中的帐户(任何Microsoft Entra 目录 – 多租户)
  • 任何标识提供者或组织目录中的帐户(用于使用用户流对用户进行身份验证)

若要了解不同的帐户类型,请在创建体验中选择“帮助”。

在旧体验中,应用始终创建为面向客户的应用程序。 对于这些应用,帐户类型设置为任何标识提供者或组织目录中的帐户(用于使用用户流对用户进行身份验证)。

注释

必须选择此选项才能运行 Azure AD B2C 用户流,以便对此应用程序的用户进行身份验证。 了解如何注册应用程序以用于用户流。

还可以使用此选项将 Azure AD B2C 用作 SAML 服务提供商。 了解详细信息

DevOps 方案的应用程序

可以使用其他帐户类型创建应用来管理 DevOps 方案,例如使用 Microsoft Graph 上传标识体验框架策略或预配用户。 了解如何注册 Microsoft Graph 应用程序来管理 Azure AD B2C 资源

你可能看不到所有Microsoft Graph 权限,因为其中许多权限不适用于 Azure B2C 使用者用户。 详细了解如何使用 Microsoft Graph 管理用户

openid 范围是必需的,以便 Azure AD B2C 可以将用户登录到应用。 需要 offline_access 范围才能为用户颁发刷新令牌。 这些范围以前是添加的,默认情况下授予管理员同意。 现在,可以通过确保 已选择“授予管理员同意 openid”和“offline_access权限 ”选项,在创建过程中轻松添加这些作用域的权限。 否则,可以使用现有应用的 API 权限 设置中的管理员同意添加 Microsoft Graph 权限。

详细了解 权限和许可

平台/身份验证:回复 URL/重定向 URI

在旧体验中,各种平台类型在 “属性” 下作为 Web 应用/API 的回复 URL 进行管理,以及本机客户端的重定向 URI。 “本机客户端”也称为“公共客户端”,包括适用于 iOS、macOS、Android 和其他移动和桌面应用程序类型的应用。

在新体验中,回复 URL 和重定向 URI 都称为重定向 URI,可在应用的 “身份验证 ”部分中找到。 应用注册不限于是 Web 应用或本机应用程序。 可以通过注册相应的重定向 URI,为所有这些平台类型使用相同的应用注册。

需要重定向 URI 才能与应用类型(Web 或公共(移动和桌面)相关联。 详细了解重定向 URI

iOS/macOSAndroid 平台是一种公共客户端。 它们提供了一种简单的方法来配置 iOS/macOS 或 Android 应用以及相应的重定向 URI,以便与 MSAL 一起使用。 详细了解 应用程序配置选项

应用程序证书和机密

在新体验中,使用“证书和机密”边栏选项卡来管理证书和机密,而不是密钥。 证书和机密允许应用程序在 Web 可寻址位置(使用 HTTPS 方案)接收令牌时自行识别到身份验证服务。 我们建议在针对 Microsoft Entra ID 进行身份验证时,对客户端凭据方案使用证书而不是客户端密码。 证书不能用于对 Azure AD B2C 进行身份验证。

Azure AD B2C 租户中不适用的功能

以下Microsoft Entra 应用注册功能不适用于或可用于 Azure AD B2C 租户:

  • 角色和管理员 - 目前不适用于 Azure AD B2C。
  • 品牌 - UI/UX 自定义在 公司品牌 体验中或作为用户流的一部分进行配置。 了解如何 在 Azure Active Directory B2C 中自定义用户界面
  • 发布者域验证 - 你的应用已在 .onmicrosoft.com 上注册,该域不是已验证的域。 此外,发布者域主要用于授予用户同意,这不适用于 Azure AD B2C 应用进行用户身份验证。 详细了解发布者域
  • 令牌配置 - 令牌配置为用户流(而不是应用)的一部分。
  • 快速入门体验目前不适用于 Azure AD B2C 租户。

局限性

新体验具有以下限制:

  • 目前,Azure AD B2C 无法区分为隐式流颁发访问令牌或 ID 令牌;如果在“身份验证”边栏选项卡中选择了 ID 令牌选项,则这两种类型的令牌都可用于隐式授予流。
  • UI 不支持更改支持的帐户的值。 你需要使用应用清单,除非在 Microsoft Entra 单租户和多租户之间切换。

后续步骤

若要开始使用新的应用注册体验,请执行以下作: