Azure Active Directory B2C 的开发人员说明

重要

自 2025 年 5 月 1 日起,Azure AD B2C 将不再可供新客户购买。 在我们的常见问题解答中了解详细信息

Azure Active Directory B2C 用户流和自定义策略已正式发布。 Azure AD B2C 功能的开发工作正在继续,因此,尽管大部分功能已正式发布,但有些功能还处于软件发布周期的不同阶段。 本文讨论了 Azure AD B2C 的累积改进,并详细说明了功能可用性。

公共预览版功能的使用条款

  • 建议将公共预览功能仅用于评估。

  • 服务级别协议 (SLA) 不适用于公共预览功能。

  • 可通过普通支持渠道提出公共预览功能支持请求。

功能可用性

功能 用户流 自定义策略 中国用户流 中国自定义策略 备注
使用电子邮件和密码注册并登录 乔治亚州 乔治亚州 乔治亚州 乔治亚州
使用用户名和密码注册并登录 乔治亚州 乔治亚州 乔治亚州 乔治亚州
配置文件编辑流 乔治亚州 乔治亚州 乔治亚州 乔治亚州
自助式密码重置 乔治亚州 乔治亚州 乔治亚州 乔治亚州
强制执行密码重置 乔治亚州 乔治亚州 暂无 乔治亚州
电话注册和登录 乔治亚州 乔治亚州 暂无 乔治亚州
智能锁定 乔治亚州 乔治亚州 暂无 暂无
条件访问 乔治亚州 乔治亚州 暂无 有限的可用性 不适用于 SAML 应用程序。
标识保护 乔治亚州 乔治亚州 暂无 暂无
CAPTCHA 预览 预览 暂无 暂无 可以在注册或登录本地帐户期间启用它。

OAuth 2.0 应用程序授权流

下表总结了可以与 Azure AD B2C 集成的 OAuth 2.0 和 OpenId Connect 应用程序身份验证流。

功能 用户流 自定义策略 备注
授权代码 乔治亚州 乔治亚州 允许用户登录到 Web 应用程序。 Web 应用程序接收授权代码。 兑换该授权代码可获取用于调用 Web API 的令牌。
采用 PKCE 的授权代码 乔治亚州 乔治亚州 允许用户登录到移动和单页应用程序。 应用程序接收采用代码交换证明密钥 (PKCE) 的授权代码。 兑换该授权代码可获取用于调用 Web API 的令牌。
客户端凭据流 预览 预览 允许使用应用程序的标识访问 Web 托管的资源。 通常用于必须在后台运行的服务器间交互,不需要立即与用户交互。
设备授权授予 暂无 暂无 允许用户登录到智能电视、IoT 设备或打印机等输入受限的设备。
隐式流 乔治亚州 乔治亚州 允许用户登录到单页应用程序。 应用直接获取令牌,无需执行后端服务器凭据交换。
注意:支持 SPA 的建议流是 OAuth 2.0 授权代码流(使用 PKCE)
代理 暂无 暂无 应用程序调用某个服务或 Web API,而后者又需要调用另一个服务或 Web API。

若要使中间层服务向下游服务发出经过身份验证的请求,请在授权标头中传递一个客户端凭据令牌。 可以有选择地将自定义标头包含在 Azure AD B2C 用户令牌中。
OpenId Connect 乔治亚州 乔治亚州 OpenID Connect 引入了 ID 令牌的概念,这是一种安全令牌,可让客户端验证用户的标识。
OpenId Connect 混合流 乔治亚州 乔治亚州 允许 Web 应用程序检索授权请求上的 ID 令牌以及授权代码。
资源所有者密码凭据 (ROPC) 乔治亚州 乔治亚州 允许移动应用程序通过直接处理用户的密码让用户登录。
注销 乔治亚州 乔治亚州
单一登录 暂无 预览

OAuth 2.0 选项

功能 用户流 自定义策略 备注
将登录重定向到社交提供者 乔治亚州 乔治亚州 查询字符串参数 domain_hint
预填充登录名 乔治亚州 乔治亚州 查询字符串参数 login_hint
通过 client_assertion 将 JSON 插入用户历程 暂无 已放弃
将 JSON 作为 id_token_hint 插入到用户旅程中 暂无 乔治亚州
向应用程序传递标识提供者令牌 预览 预览
使我保持登录状态 (KMSI) 乔治亚州 乔治亚州

SAML2 应用程序身份验证流

下表总结了可以与 Azure AD B2C 集成的安全断言标记语言 (SAML) 应用程序身份验证流。

功能 用户流 自定义策略 备注
SP 启动的 暂无 乔治亚州 POST 和重定向绑定。
IDP 启动的 暂无 乔治亚州 其中发起的标识提供程序为 Azure AD B2C。

用户体验自定义

功能 用户流 自定义策略 备注
多语言支持 乔治亚州 乔治亚州 在中国云中可用,但仅适用于自定义策略。
使用内置模板自定义用户界面 乔治亚州 乔治亚州
使用自定义模板自定义用户界面 乔治亚州 乔治亚州 通过使用 HTML 模板。
页面布局版本 乔治亚州 乔治亚州 在中国云中可用,但仅适用于自定义策略。
JavaScript 乔治亚州 乔治亚州 在中国云中可用,但仅适用于自定义策略。
密码复杂性 乔治亚州 乔治亚州 在中国云中可用,但仅适用于自定义策略。
禁用电子邮件验证 乔治亚州 乔治亚州 不建议在生产环境中使用。 在注册过程中禁用电子邮件验证可能会导致垃圾邮件。

标识提供者

功能 用户流 自定义策略 备注
AD FS 暂无 乔治亚州
苹果 乔治亚州 乔治亚州 在中国云中可用,但仅适用于自定义策略。
Microsoft Entra ID(单租户) 乔治亚州 乔治亚州
Microsoft Entra ID(多租户) 暂无 乔治亚州
Azure AD B2C 乔治亚州 乔治亚州
eBay 暂无 预览
GitHub 预览 乔治亚州
ID.me 乔治亚州 乔治亚州
QQ 预览 乔治亚州
Salesforce 乔治亚州 乔治亚州
Salesforce(SAML 协议) 暂无 乔治亚州
微信 预览 乔治亚州 在中国云中可用,但仅适用于自定义策略。
微博 预览 乔治亚州

一般标识提供者

功能 用户流 自定义策略 备注
OAuth2 暂无 乔治亚州
OAuth1 暂无 乔治亚州
OpenID Connect 乔治亚州 乔治亚州 例如 Microsoft Entra ID
SAML2 暂无 乔治亚州 例如 SalesforceAD-FS
WSFED 暂无 暂无

自定义策略功能

会话管理

功能 自定义策略 备注
默认 SSO 会话提供程序 乔治亚州 在中国云中可用,但仅适用于自定义策略。
外部登录会话提供程序 乔治亚州 在中国云中可用,但仅适用于自定义策略。
SAML SSO 会话提供程序 乔治亚州 在中国云中可用,但仅适用于自定义策略。
OAuth SSO 会话提供程序 乔治亚州 在中国云中可用,但仅适用于自定义策略。

组件

功能 自定义策略 备注
电话因素身份验证 乔治亚州 在中国云中可用,但仅适用于自定义策略。
Microsoft Entra 多重身份验证 乔治亚州
一次性密码 乔治亚州
Microsoft Entra ID 作为本地目录 乔治亚州
谓词验证 乔治亚州 例如,密码复杂性。
显示控件 乔治亚州
子旅程 乔治亚州

开发人员接口

功能 自定义策略 备注
Azure 门户 乔治亚州
Application Insights 用户旅程日志 预览 用于在开发过程中进行故障排除。
Application Insights 事件日志 预览 用于监视生产中的用户流和自定义策略。

自定义策略功能集开发人员的责任

手动策略配置授予对 Azure AD B2C 基础平台的较低访问级别,因此要求创建唯一的信任框架。 自定义标识提供者、信任关系、与外部服务的集成以及分步工作流的诸多可能组合方式要求在设计和配置方面采用有条理的方法。

使用自定义策略功能集的开发人员应遵守以下指导原则:

  • 熟悉自定义策略和密钥/机密管理的配置语言。 有关详细信息,请参阅 TrustFrameworkPolicy
  • 取得方案和自定义集成的所有权。 阐述自己的工作并告知实时站点组织。
  • 执行有序的方案测试。
  • 遵循软件开发和暂存最佳做法。 建议至少使用一个开发和测试环境。
  • 随时了解与之集成的标识提供程序和服务的新进展。 例如,跟踪机密的更改情况以及对服务的计划内和计划外更改。
  • 设置主动监控,监控生产环境的响应能力。 有关与 Application Insights 集成的详细信息,请参阅 Azure Active Directory B2C:收集日志
  • 在 Azure 订阅中保留最新的联系电子邮件地址,并快速回复 Microsoft 活动站点团队的电子邮件。
  • 根据 Microsoft 活动站点团队的通知及时采取措施。

后续步骤