你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
重要
自 2025 年 5 月 1 日起,Azure AD B2C 将不再可供新客户购买。 在我们的常见问题解答中了解详细信息。
在开始之前,请使用此页面顶部的 “选择策略类型 选择器”来选择要设置的策略类型。 Azure Active Directory B2C 提供了两种定义用户如何与应用程序交互的方法:通过预定义的用户流,或者通过可完全配置的自定义策略。 对于每种方法,本文中所需的步骤都不同。
注释
在 Azure Active Directory B2C 中,自定义策略 主要用于解决复杂场景。 对于大多数场景,我们建议您使用内置的用户流。 如果未这样做,请通过 Active Directory B2C 中的自定义策略入门来了解自定义策略初学者包。
先决条件
- 创建用户流,以便用户能够注册并登录应用程序。
- 注册 Web 应用程序。
- 完成 Active Directory B2C 中的自定义策略入门中的步骤。 本教程指导你如何更新自定义策略文件以使用 Azure AD B2C 租户配置。
- 注册 Web 应用程序。
创建LinkedIn应用程序
若要在 Azure Active Directory B2C(Azure AD B2C)中使用LinkedIn帐户为用户启用登录,需要在 LinkedIn开发人员网站中创建应用程序。 如果还没有LinkedIn帐户,可以注册。https://www.linkedin.com/
- 使用LinkedIn帐户凭据登录到LinkedIn 开发人员网站 。
- 选择 “我的应用”,然后单击“ 创建应用”。
- 输入 应用名称、 LinkedIn页面、 隐私策略 URL 和 应用徽标。
- 同意LinkedIn API 使用条款 ,然后单击“ 创建应用”。
- 选择 “身份验证 ”选项卡。在 “身份验证密钥”下,复制 客户端 ID 和 客户端机密的值。 将 LinkedIn 配置为租户中的标识提供者时需要这两个值。 客户端密码 是重要的安全凭据。
- 选择 应用的授权重定向 URL 旁边的编辑图标,然后选择 添加重定向 URL。 输入
https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp。 如果使用 自定义域,请输入https://your-___domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp。 将your-tenant-name替换为租户的名称,将your-___domain-name替换为您的自定义域。 输入租户名称时,必须全部使用小写字母,即使租户是使用大写字母在 Azure AD B2C 中定义的,也是如此。 选择更新。 - 默认情况下,您的LinkedIn应用未获得与登录相关范围的批准。 若要请求评审,请选择产品选项卡,然后选择使用OpenID Connect的LinkedIn登录。 审核完成后,所需的权限范围将添加到您的应用程序中。
注释
可以在 OAuth 2.0 范围部分中的“身份验证”选项卡上查看应用当前允许的范围。
将LinkedIn配置为标识提供者
- 使用至少具有外部标识提供者管理员权限的帐户登录到 Azure 门户。
- 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,从“目录 + 订阅”菜单切换到你的 Azure AD B2C 租户。
- 在“门户设置 | 目录+订阅”页上的“目录名称”列表中找到你的 Azure AD B2C 目录,然后选择“切换”。
- 选择 Azure 门户左上角的“所有服务” ,搜索并选择 Azure AD B2C。
- 选择 “标识提供者”,然后选择“ 新建 OpenID Connect 提供程序”。
- 输入“名称”。 例如, LinkedIn-OIDC。
- 对于 元数据 URL,请输入 https://www.linkedin.com/oauth/.well-known/openid-configuration。
- 对于 客户端 ID,输入前面创建的LinkedIn应用程序的客户端 ID。
- 对于“客户端密码”,输入已记录的客户端密码。
- 对于 Scope,请输入 openid profile email。
- 对于 响应类型,请输入 代码。
- 对于 用户 ID,请输入 电子邮件。
- 对于 显示名称,请输入 名称。
- 对于 给定的名称,请输入 given_name。
- 对于 姓氏,请输入 family_name。
- 对于 “电子邮件”,请输入 电子邮件。
- 选择“保存”。
将LinkedIn标识提供者添加到用户流
此时,LinkedIn 标识提供者已设置,但还不能在任何登录页中使用。 若要将LinkedIn标识提供者添加到用户流,
- 在 Azure AD B2C 租户中,选择“用户流” 。
- 单击要添加 LinkedIn 标识提供者的用户流。
- 在 “自定义标识提供者”下,选择 “LinkedIn-OIDC”。
- 选择“保存”。
- 若要测试策略,请选择“运行用户流”。
- 对于“应用程序”,请选择前面已注册的名为“testapp1”的 Web 应用程序。 “回复 URL”应显示为
https://jwt.ms。 - 选择“运行用户流”按钮。
- 在注册或登录页中,选择 LinkedIn-OIDC 以使用 LinkedIn 帐户登录。
如果登录过程成功,浏览器将重定向到 https://jwt.ms,后者显示 Azure AD B2C 返回的令牌内容。
创建策略密钥
需要存储以前在 Azure AD B2C 租户中记录的客户端密码。
- 登录到 Azure 门户。
- 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,从“目录 + 订阅”菜单切换到你的 Azure AD B2C 租户。
- 在“门户设置 | 目录+订阅”页上的“目录名称”列表中找到你的 Azure AD B2C 目录,然后选择“切换”。
- 选择 Azure 门户左上角的“所有服务”,然后搜索并选择“Azure AD B2C” 。
- 在“概述”页上选择“标识体验框架”。
- 选择“策略密钥”,然后选择“添加”。
- 对于“选项”,选择 。
Manual - 输入策略密钥的名称。 例如,
LinkedInSecret。 前缀“B2C_1A_”会自动添加到密钥名称中。 - 在 “机密”中,输入之前记录的客户端密码。
- 在“密钥用法”处选择 。
- 单击 “创建” 。
将LinkedIn配置为标识提供者
若要允许用户使用 LinkedIn 帐户登录,需将该帐户定义为 Azure AD B2C 可通过终结点与其进行通信的声明提供程序。 该终结点将提供一组声明,Azure AD B2C 使用这些声明来验证特定的用户是否已完成身份验证。
通过在策略扩展文件中的 ClaimsProviders 元素中添加 LinkedIn 帐户,将其定义为声明提供者。
在编辑器中打开 SocialAndLocalAccounts/TrustFrameworkExtensions.xml 文件。 此文件位于作为先决条件之一下载的 自定义策略初学者包 中。
找到 ClaimsProviders 元素。 如果该元素不存在,请在根元素下添加它。
添加一个新的 ClaimsProvider,如下所示:
<ClaimsProvider> <Domain>linkedin.com</Domain> <DisplayName>LinkedIn-OIDC</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="LinkedIn-OIDC"> <DisplayName>LinkedIn</DisplayName> <Protocol Name="OpenIdConnect" /> <Metadata> <Item Key="METADATA">https://www.linkedin.com/oauth/.well-known/openid-configuration</Item> <Item Key="scope">openid profile email</Item> <Item Key="HttpBinding">POST</Item> <Item Key="response_types">code</Item> <Item Key="UsePolicyInRedirectUri">false</Item> <Item Key="client_id">Your LinkedIn application client ID</Item> </Metadata> <CryptographicKeys> <Key Id="client_secret" StorageReferenceId="B2C_1A_LinkedInSecret" /> </CryptographicKeys> <InputClaims /> <OutputClaims> <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="email" /> <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" /> <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" /> <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="linkedin.com" AlwaysUseDefaultValue="true" /> <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" /> </OutputClaims> <OutputClaimsTransformations> <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" /> <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" /> <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" /> <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" /> </OutputClaimsTransformations> <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" /> </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>将 client_id 的值替换为之前记录的 LinkedIn 应用程序的客户端 ID。
保存文件。
添加用户旅程
此时,标识提供者已设置,但还不能在任何登录页中使用。 如果你没有自己的自定义用户旅程,请创建现有模板用户旅程的副本,否则,请继续执行下一步。
- 打开初学者包中的 TrustFrameworkBase.xml 文件。
- 找到并复制包含 的
Id="SignUpOrSignIn"元素的完整内容。 - 打开 TrustFrameworkExtensions.xml 并找到 UserJourneys 元素。 如果该元素不存在,请添加一个。
- 将您复制的 UserJourney 元素的完整内容粘贴到 UserJourneys 元素下作为其子项。
- 对用户旅程的 ID 进行重命名。 例如,
Id="CustomSignUpSignIn"。
将标识提供者添加到用户旅程
现在你已拥有用户旅程,请将新的身份提供者添加到用户旅程中。 首先添加一个“登录”按钮,然后将该按钮链接到某个操作。 该操作是前面创建的技术配置文件。
在用户旅程中,查找包含
Type="CombinedSignInAndSignUp"或Type="ClaimsProviderSelection"的业务流程步骤元素。 通常这是第一个编排步骤。 ClaimsProviderSelections 元素包含用户可以用来登录的标识提供者列表。 元素的顺序将决定向用户显示的登录按钮的顺序。 添加ClaimsProviderSelection XML 元素。 将 TargetClaimsExchangeId 的值设置为易记名称。在下一个编排步骤中,添加 ClaimsExchange 元素。 将 ID 设为目标声明交换 ID 的值。将 TechnicalProfileReferenceId 的值更新为先前创建的技术配置文件的 ID。
下面的 XML 演示了使用标识提供者进行用户旅程的前两个业务流程步骤:
<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
<ClaimsProviderSelections>
...
<ClaimsProviderSelection TargetClaimsExchangeId="LinkedInExchange" />
</ClaimsProviderSelections>
...
</OrchestrationStep>
<OrchestrationStep Order="2" Type="ClaimsExchange">
...
<ClaimsExchanges>
<ClaimsExchange Id="LinkedInExchange" TechnicalProfileReferenceId="LinkedIn-OIDC" />
</ClaimsExchanges>
</OrchestrationStep>
配置信赖方策略
信赖方策略(例如 SignUpSignIn.xml)指定 Azure AD B2C 将执行的用户旅程。 在信赖方内查找 DefaultUserJourney 元素。 更新 ReferenceId,使其与已在其中添加标识提供者的用户旅程 ID 匹配。
在以下示例中,对于 CustomSignUpSignIn 用户旅程,将 ReferenceId 设置为 CustomSignUpSignIn:
<RelyingParty>
<DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
...
</RelyingParty>
上传自定义策略
- 登录到 Azure 门户。
- 在门户工具栏中选择“目录 + 订阅”图标,然后选择包含 Azure AD B2C 租户的目录。
- 在 Azure 门户中,搜索并选择 Azure AD B2C。
- 在“策略”下,选择“Identity Experience Framework”。
- 选择“上传自定义策略”,然后上传已更改的两个策略文件,其顺序为:先上传扩展策略(例如 ),然后上传信赖方策略(例如
TrustFrameworkExtensions.xml)。
测试自定义策略
- 选择依赖方策略,例如
B2C_1A_signup_signin。 - 对于应用程序,请选择您前面注册的 Web 应用程序。 “回复 URL”应显示为
https://jwt.ms。 - 选择“立即运行”按钮。
- 在注册或登录页中,选择 LinkedIn-OIDC 以使用 LinkedIn 帐户登录。
如果登录过程成功,浏览器将重定向到 https://jwt.ms,后者显示 Azure AD B2C 返回的令牌内容。
从 v1.0 迁移到 v2.0
LinkedIn最近 将其 API 从 v1.0 更新到 v2.0。 若要将现有配置迁移到新配置,请使用以下部分中的信息更新技术配置文件中的元素。
替换 Metadata 中的项
在 TechnicalProfile 的现有 Metadata 元素中,更新以下项中的下列 Item 元素:
<Item Key="ClaimsEndpoint">https://api.linkedin.com/v1/people/~:(id,first-name,last-name,email-address,headline)</Item>
<Item Key="scope">r_emailaddress r_basicprofile</Item>
更改为:
<Item Key="ClaimsEndpoint">https://api.linkedin.com/v2/me</Item>
<Item Key="scope">r_emailaddress r_liteprofile</Item>
向 Metadata 添加项
在 TechnicalProfile 的元数据中,添加以下 Item 元素:
<Item Key="external_user_identity_claim_id">id</Item>
<Item Key="BearerTokenTransmissionMethod">AuthorizationHeader</Item>
<Item Key="ResolveJsonPathsInJsonTokens">true</Item>
更新 OutputClaims
在 TechnicalProfile 的现有 OutputClaims 中,更新以下项中的下列 OutputClaim 元素:
<OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="firstName" />
<OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="lastName" />
更改为:
<OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="firstName.localized" />
<OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="lastName.localized" />
添加新的 OutputClaimsTransformation 元素
在 TechnicalProfile 的 OutputClaimsTransformations 中,添加以下 OutputClaimsTransformation 元素:
<OutputClaimsTransformation ReferenceId="ExtractGivenNameFromLinkedInResponse" />
<OutputClaimsTransformation ReferenceId="ExtractSurNameFromLinkedInResponse" />
定义新的声明转换和声明类型
在上一个步骤中,你添加了需要定义的新声明转换。 若要定义声明转换,请将它们添加到 ClaimsTransformations 列表。 如果没有在文件中定义的 ClaimsTransformations 元素,请添加父 XML 元素,如下所示。 声明转换还需要一个名为 nullStringClaim 的新声明类型。
应将 BuildingBlocks 元素添加到文件顶部附近。 请参阅 TrustframeworkBase.xml 作为示例。
<BuildingBlocks>
<ClaimsSchema>
<!-- Claim type needed for LinkedIn claims transformations -->
<ClaimType Id="nullStringClaim">
<DisplayName>nullClaim</DisplayName>
<DataType>string</DataType>
<AdminHelpText>A policy claim to store unuseful output values from ClaimsTransformations. This claim should not be used in a TechnicalProfiles.</AdminHelpText>
<UserHelpText>A policy claim to store unuseful output values from ClaimsTransformations. This claim should not be used in a TechnicalProfiles.</UserHelpText>
</ClaimType>
</ClaimsSchema>
<ClaimsTransformations>
<!-- Claim transformations needed for LinkedIn technical profile -->
<ClaimsTransformation Id="ExtractGivenNameFromLinkedInResponse" TransformationMethod="GetSingleItemFromJson">
<InputClaims>
<InputClaim ClaimTypeReferenceId="givenName" TransformationClaimType="inputJson" />
</InputClaims>
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="nullStringClaim" TransformationClaimType="key" />
<OutputClaim ClaimTypeReferenceId="givenName" TransformationClaimType="value" />
</OutputClaims>
</ClaimsTransformation>
<ClaimsTransformation Id="ExtractSurNameFromLinkedInResponse" TransformationMethod="GetSingleItemFromJson">
<InputClaims>
<InputClaim ClaimTypeReferenceId="surname" TransformationClaimType="inputJson" />
</InputClaims>
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="nullStringClaim" TransformationClaimType="key" />
<OutputClaim ClaimTypeReferenceId="surname" TransformationClaimType="value" />
</OutputClaims>
</ClaimsTransformation>
</ClaimsTransformations>
</BuildingBlocks>
获取电子邮件地址
在从 v1.0 迁移到 v2.0 LinkedIn过程中,需要对另一个 API 进行额外的调用才能获取电子邮件地址。 如果需要在注册期间获取电子邮件地址,请执行以下作:
完成上述步骤,使 Azure AD B2C 能够与LinkedIn联合,让用户登录。 作为联合身份验证的一部分,Azure AD B2C 接收LinkedIn的访问令牌。
将 LinkedIn 访问令牌保存到声明中。 请参阅此处的说明。
添加以下声明提供程序以向 LinkedIn 的
/emailAddressAPI 发出请求。 若要授权此请求,需要LinkedIn访问令牌。<ClaimsProvider> <DisplayName>REST APIs</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="API-LinkedInEmail"> <DisplayName>Get LinkedIn email</DisplayName> <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.RestfulProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" /> <Metadata> <Item Key="ServiceUrl">https://api.linkedin.com/v2/emailAddress?q=members&projection=(elements*(handle~))</Item> <Item Key="AuthenticationType">Bearer</Item> <Item Key="UseClaimAsBearerToken">identityProviderAccessToken</Item> <Item Key="SendClaimsIn">Url</Item> <Item Key="ResolveJsonPathsInJsonTokens">true</Item> </Metadata> <InputClaims> <InputClaim ClaimTypeReferenceId="identityProviderAccessToken" /> </InputClaims> <OutputClaims> <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="elements[0].handle~.emailAddress" /> </OutputClaims> <UseTechnicalProfileForSessionManagement ReferenceId="SM-Noop" /> </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>将以下业务流程步骤添加到用户旅程中,以便在用户使用 LinkedIn 登录时触发 API 声明提供程序。 请确保正确更新
Order号码。 紧接着可触发 LinkedIn 技术配置文件的业务流程步骤添加此步骤。<!-- Extra step for LinkedIn to get the email --> <OrchestrationStep Order="3" Type="ClaimsExchange"> <Preconditions> <Precondition Type="ClaimsExist" ExecuteActionsIf="false"> <Value>identityProvider</Value> <Action>SkipThisOrchestrationStep</Action> </Precondition> <Precondition Type="ClaimEquals" ExecuteActionsIf="false"> <Value>identityProvider</Value> <Value>linkedin.com</Value> <Action>SkipThisOrchestrationStep</Action> </Precondition> </Preconditions> <ClaimsExchanges> <ClaimsExchange Id="GetEmail" TechnicalProfileReferenceId="API-LinkedInEmail" /> </ClaimsExchanges> </OrchestrationStep>
在注册期间从LinkedIn获取电子邮件地址是可选的。 如果选择不从LinkedIn获取电子邮件,但在注册期间需要一封电子邮件,则需要用户手动输入电子邮件地址并对其进行验证。
有关使用LinkedIn标识提供者的策略的完整示例,请参阅 自定义策略初学者包。
从 v1.0 迁移到 v2.0
LinkedIn最近 将其 API 从 v1.0 更新到 v2.0。 在迁移过程中,Azure AD B2C 只能在注册期间获取LinkedIn用户的全名。 如果电子邮件地址是注册过程中收集的属性之一,用户必须手动输入电子邮件地址并对其进行验证。