Azure Active Directory B2C 的开发人员说明
Azure Active Directory B2C 用户流和自定义策略已正式发布。 Azure AD B2C 功能的开发工作正在继续,因此,尽管大部分功能已正式发布,但有些功能还处于软件发布周期的不同阶段。 本文讨论了 Azure AD B2C 的累积改进,并详细说明了功能可用性。
公共预览版功能的使用条款
建议将公共预览功能仅用于评估。
服务级别协议 (SLA) 不适用于公共预览功能。
可通过普通支持渠道提出公共预览功能支持请求。
用户流
OAuth 2.0 应用程序授权流
下表总结了可以与 Azure AD B2C 集成的 OAuth 2.0 和 OpenId Connect 应用程序身份验证流。
Feature |
用户流 |
自定义策略 |
注释 |
授权代码 |
GA |
GA |
允许用户登录到 Web 应用程序。 Web 应用程序接收授权代码。 兑换该授权代码可获取用于调用 Web API 的令牌。 |
采用 PKCE 的授权代码 |
GA |
GA |
允许用户登录到移动和单页应用程序。 应用程序接收采用代码交换证明密钥 (PKCE) 的授权代码。 兑换该授权代码可获取用于调用 Web API 的令牌。 |
客户端凭据流 |
预览 |
预览 |
允许使用应用程序的标识访问 Web 托管的资源。 通常用于必须在后台运行的服务器间交互,不需要立即与用户交互。 |
设备授权授予 |
NA |
NA |
允许用户登录到智能电视、IoT 设备或打印机等输入受限的设备。 |
隐式流 |
GA |
GA |
允许用户登录到单页应用程序。 应用直接获取令牌,无需执行后端服务器凭据交换。 |
代理 |
NA |
NA |
应用程序调用某个服务或 Web API,而后者又需要调用另一个服务或 Web API。 若要使中间层服务向下游服务发出经过身份验证的请求,请在授权标头中传递一个客户端凭据令牌。 可以有选择地将自定义标头包含在 Azure AD B2C 用户令牌中。 |
OpenId Connect |
GA |
GA |
OpenID Connect 引入了 ID 令牌的概念,这是一种安全令牌,可让客户端验证用户的标识。 |
OpenId Connect 混合流 |
GA |
GA |
允许 Web 应用程序检索授权请求上的 ID 令牌以及授权代码。 |
资源所有者密码凭据 (ROPC) |
GA |
GA |
允许移动应用程序通过直接处理用户的密码让用户登录。 |
注销 |
GA |
GA |
|
单一登录 |
NA |
预览 |
|
OAuth 2.0 选项
SAML2 应用程序身份验证流
下表总结了可以与 Azure AD B2C 集成的安全断言标记语言 (SAML) 应用程序身份验证流。
Feature |
用户流 |
自定义策略 |
注释 |
SP 启动的 |
NA |
GA |
POST 和重定向绑定。 |
IDP 启动的 |
NA |
GA |
其中发起的标识提供程序为 Azure AD B2C。 |
用户体验自定义
标识提供者
一般标识提供者
自定义策略功能
会话管理
组件
开发人员接口
自定义策略功能集开发人员的责任
手动策略配置授予对 Azure AD B2C 基础平台的较低访问级别,因此要求创建唯一的信任框架。 自定义标识提供者、信任关系、与外部服务的集成以及分步工作流的诸多可能组合方式要求在设计和配置方面采用有条理的方法。
使用自定义策略功能集的开发人员应遵守以下指导原则:
- 熟悉自定义策略和密钥/机密管理的配置语言。 有关详细信息,请参阅 TrustFrameworkPolicy。
- 取得方案和自定义集成的所有权。 阐述自己的工作并告知实时站点组织。
- 执行有序的方案测试。
- 遵循软件开发和暂存最佳做法。 建议至少使用一个开发和测试环境。
- 随时了解与之集成的标识提供程序和服务的新进展。 例如,跟踪机密的更改情况以及对服务的计划内和计划外更改。
- 设置主动监控,监控生产环境的响应能力。 有关与 Application Insights 集成的详细信息,请参阅 Azure Active Directory B2C:收集日志。
- 在 Azure 订阅中保留最新的联系电子邮件地址,并快速回复 Microsoft 活动站点团队的电子邮件。
- 根据 Microsoft 活动站点团队的通知及时采取措施。
后续步骤