设置使用 Azure Active Directory B2C 通过 ID.me 帐户进行注册和登录

此功能仅适用于自定义策略。 对于设置步骤，请在前面的选择器中选择“自定义策略”。

先决条件

• 完成 Active Directory B2C 中的自定义策略入门中的步骤。 本教程指导你如何更新自定义策略文件以使用 Azure AD B2C 租户配置。
• 如果尚未注册 Web 应用，请按照注册 Web 应用程序中的步骤注册一个。

创建一个 ID.me 应用程序

要使用户能够在 Azure Active Directory B2C (Azure AD B2C) 中使用 ID.me 帐户登录，需在 ID.me Developer Resources for API & SDK（ID.me API 和 SDK 开发人员资源）中创建一个应用程序。 有关详细信息，请参阅 OAuth 集成指南。 如果没有 ID.me 开发人员帐户，可以在 https://developers.id.me/registration/new 上注册。

1. 使用 ID.me 帐户凭据登录到 ID.me Developer Resources for API & SDK（ID.me API 和 SDK 开发人员资源）。
2. 依次选择“View My Applications”（查看我的应用程序）、“Continue”（继续）。
3. 选择“新建”
   1. 输入名称和显示名称。
   2. 在“Redirect URI”（重定向 URI）中输入 https://your-tenant-name.b2clogin.cn/your-tenant-name.partner.onmschina.cn/oauth2/authresp。 将 your-tenant-name 替换为租户的名称。
4. 单击“继续” 。
5. 复制“客户端 ID”和“客户端密钥”的值。 将标识提供者添加到租户时需要这两个值。

创建策略密钥

你需要存储前面在 Azure AD B2C 租户中记录的客户端机密。

1. 登录 Azure 门户。
2. 如果有权访问多个租户，请选择顶部菜单中的“设置”图标，切换到“目录 + 订阅”菜单中的 Azure AD B2C 租户。
3. 选择 Azure 门户左上角的“所有服务”，然后搜索并选择“Azure AD B2C” 。
4. 在“概述”页上选择“标识体验框架”。
5. 选择“策略密钥”，然后选择“添加”。
6. 对于“选项”，请选择 Manual。
7. 输入策略密钥的名称。 例如，IdMeSecret。 前缀 B2C_1A_ 会自动添加到密钥名称。
8. 在“机密”中，输入前面记录的应用程序机密。
9. 在“密钥用法”处选择 Signature。
10. 单击“创建”。

将 ID.me 配置为标识提供者

要使用户能够使用 ID.me 帐户登录，需将该帐户定义为 Azure AD B2C 可通过终结点与之通信的声明提供程序。 该终结点将提供一组声明，Azure AD B2C 使用这些声明来验证特定的用户是否已完成身份验证。

可以通过在策略的扩展文件中将 ID.me 帐户添加到 ClaimsProviders 元素，将该帐户定义为声明提供程序。

1. 打开 TrustFrameworkExtensions.xml。

2. 找到 ClaimsProviders 元素。 如果该元素不存在，请在根元素下添加它。

3. 如下所示添加新的 ClaimsProvider：

   <ClaimsProvider>
     <Domain>id.me</Domain>
     <DisplayName>ID.me</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="IdMe-OAuth2">
         <DisplayName>IdMe</DisplayName>
         <Protocol Name="OAuth2" />
         <Metadata>
           <Item Key="ProviderName">api.id.me</Item>
           <Item Key="authorization_endpoint">https://api.id.me/oauth/authorize</Item>
           <Item Key="AccessTokenEndpoint">https://api.id.me/oauth/token</Item>
           <Item Key="ClaimsEndpoint">https://api.id.me/api/public/v2/attributes.json</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="scope">openid alumni</Item>
           <Item Key="UsePolicyInRedirectUri">0</Item>
           <!-- Update the Client ID below to the Application ID -->
           <Item Key="client_id">Your ID.me application ID</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_IdMeSecret"/>
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="uuid" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="fname" />
           <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="lname" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="me.id.com" AlwaysUseDefaultValue="true" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateDisplayNameFromFirstNameAndLastName" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. 将 client_id 设置为应用程序注册中的应用程序 ID。

5. 保存文件。

添加声明转换

接下来，需使用声明转换来创建 displayName 声明。 将以下声明转换添加到 <BuildingBlocks> 中的 <ClaimsTransformations> 元素。

 <ClaimsTransformations>
  <ClaimsTransformation Id="CreateDisplayNameFromFirstNameAndLastName" TransformationMethod="FormatStringMultipleClaims">
    <InputClaims>
      <InputClaim ClaimTypeReferenceId="givenName" TransformationClaimType="inputClaim1" />
      <InputClaim ClaimTypeReferenceId="surName" TransformationClaimType="inputClaim2" />
    </InputClaims>
    <InputParameters>
      <InputParameter Id="stringFormat" DataType="string" Value="{0} {1}" />
    </InputParameters>
    <OutputClaims>
      <OutputClaim ClaimTypeReferenceId="displayName" TransformationClaimType="outputClaim" />
    </OutputClaims>
   </ClaimsTransformation>
</ClaimsTransformations>

添加用户旅程

此时，标识提供者已设置，但还不能在任何登录页中使用。 如果你没有自己的自定义用户旅程，请创建现有模板用户旅程的副本，否则，请继续执行下一步。

1. 打开初学者包中的 TrustFrameworkBase.xml 文件。
2. 找到并复制包含 Id="SignUpOrSignIn" 的 UserJourney 元素的完整内容。
3. 打开 TrustFrameworkExtensions.xml 并找到 UserJourneys 元素。 如果该元素不存在，请添加一个。
4. 将复制的 UserJourney 元素的完整内容粘贴为 UserJourneys 元素的子级。
5. 对用户旅程的 ID 进行重命名。 例如，Id="CustomSignUpSignIn"。

将标识提供者添加到用户旅程

目前你已拥有用户旅程，请将新的标识提供者添加到用户旅程。 首先添加一个“登录”按钮，然后将该按钮链接到某个操作。 该操作是你之前创建的技术配置文件。

1. 在用户旅程中，查找包含 Type="CombinedSignInAndSignUp" 或 Type="ClaimsProviderSelection" 的业务流程步骤元素。 这通常是第一个业务流程步骤。 ClaimsProviderSelections 元素包含用户可以用来登录的标识提供者列表。 元素的顺序将决定向用户显示的登录按钮的顺序。 添加 ClaimsProviderSelection XML 元素。 将 TargetClaimsExchangeId 的值设置为易记名称。

2. 在下一个业务流程步骤中，添加 ClaimsExchange 元素。 将 ID 设置为目标声明交换 ID 的值。将 TechnicalProfileReferenceId 的值更新为之前创建的技术配置文件的 ID 。

下面的 XML 演示了使用标识提供者进行用户旅程的前两个业务流程步骤：

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="IdMeExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="IdMeExchange" TechnicalProfileReferenceId="IdMe-OAuth2" />
  </ClaimsExchanges>
</OrchestrationStep>

配置信赖方策略

信赖方策略（例如 SignUpSignIn.xml）指定 Azure AD B2C 将执行的用户旅程。 在信赖方内查找 DefaultUserJourney 元素。 更新 ReferenceId，使其与已在其中添加标识提供者的用户旅程 ID 匹配。

在以下示例中，对于 CustomSignUpSignIn 用户旅程，将 ReferenceId 设置为 CustomSignUpSignIn：

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

上传自定义策略

1. 登录到 Azure 门户。
2. 在门户工具栏中选择“目录 + 订阅”图标，然后选择包含 Azure AD B2C 租户的目录。
3. 在 Azure 门户中，搜索并选择“Azure AD B2C”。
4. 在“策略”下，选择“Identity Experience Framework”。
5. 选择“上传自定义策略”，然后上传已更改的两个策略文件，其顺序为：先上传扩展策略（例如 TrustFrameworkExtensions.xml），然后上传信赖方策略（例如 SignUpSignIn.xml）。

测试自定义策略

1. 选择信赖方策略，例如 B2C_1A_signup_signin。
2. 对于“应用程序”，请选择前面注册的 Web 应用程序。 “回复 URL”应显示为 https://jwt.ms。
3. 选择“立即运行”按钮。
4. 在注册或登录页面中，选择“ID.me”以使用 ID.me 帐户登录。

如果登录过程成功，则浏览器将重定向到 https://jwt.ms，其中显示了 Azure AD B2C 返回的令牌内容。