Настройте itsme OpenID Connect (OIDC) с Azure Active Directory B2C

Это важно

Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".

Приложение itsme Digital ID позволяет безопасно входить в систему без считывателей карт, паролей, двухфакторной аутентификации или нескольких PIN-кодов. Приложение itsme имеет надежную проверку подлинности клиента с проверенным удостоверением. В этой статье вы узнаете, как интегрировать аутентификацию Azure AD B2C с помощью itsme OIDC, используя политику пользовательского потока с секретом клиента.

Предпосылки

Чтобы начать, вам нужно:

  • Подписка Azure. Если у вас нет учетной записи, вы можете получить бесплатную учетную запись.
  • Клиент Azure AD B2C, связанный с подпиской Azure.
  • Ваш идентификатор клиента, также известный как код партнера, предоставленный itsme.
  • Ваш код Сервиса предоставлен itsme.
  • Ваш секретный ключ клиента для вашей учетной записи itsme.

Описание сценария

Схема архитектуры ITSME

Этап Описание
1 На вашем веб-сайте или в приложении добавьте кнопку Войти с помощью itsme в пользовательский поток Azure AD B2C. Поток взаимодействия начинается, когда пользователь нажимает эту кнопку.
2 Azure AD B2C инициирует поток OIDC, отправляя запрос Authorize в API секрета клиента itsme. Доступна общеизвестная конечная точка/конфигурация OpenID, содержащая информацию о конечных точках.
3 Среда itsme перенаправляет пользователя на страницу идентификации себя itsme, позволяя пользователю ввести свой номер телефона.
4 Среда itsme получает номер телефона от пользователя и проверяет правильность его выполнения.
5 Если номер телефона принадлежит активному пользователю itsme, для приложения itsme создается действие.
6 Пользователь открывает приложение itsme, проверяет запрос и подтверждает действие.
7 Приложение информирует свое окружение о том, что действие подтверждено.
8 Среда itsme возвращает код авторизации OAuth в Azure AD B2C.
9 Используя код авторизации, Azure AD B2C передает запрос токена.
10 Среда itsme проверяет запрос токена и, если он все еще действителен, возвращает токен доступа OAuth и токен идентификатора, содержащий запрашиваемую информацию о пользователе.
11 Наконец, пользователь перенаправляется на URL-адрес перенаправления в качестве аутентифицированного пользователя.

На борту с itsme

  1. Чтобы создать свою учетную запись, посетите Azure Marketplace.

  2. Активируйте свою учетную запись itsme, отправив электронное письмо по адресу onboarding@itsme.be. Вы получите код партнера и код службы для настройки B2C.

  3. После активации вашего партнерского аккаунта itsme вам на почту придет письмо с одноразовой ссылкой на секрет клиента.

  4. Следуйте инструкциям на сайте itsme , чтобы завершить настройку.

Интеграция с Azure AD B2C

Настройка нового поставщика удостоверений в Azure AD B2C

Замечание

Если у вас его нет, создайте Azure клиент AD B2C, связанный с подпиской Azure.

  1. Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.

  2. В разделе Службы Azure выберите Azure AD B2C (или выберите Другие службы и используйте поле поиска Все службы для поиска Azure AD B2C).

  3. Выберите поставщики удостоверений и выберите новый поставщик OpenID Connect.

  4. Заполните форму, указав следующую информацию:

    Недвижимость Ценность
    Имя itsme
    URL-адрес метаданных https://oidc.<environment>.itsme.services/clientsecret-oidc/csapi/v0.1/.well-known/openid-configuration
    где <environment> — это либо e2e (тестовая среда), либо prd (продуктовая среда)
    ClientID Идентификатор клиента или код партнера
    Секрет клиента Ваш client_secret
    Область действия openid service:YOURSERVICECODE профиль электронная почта [телефон] [адрес]
    Тип ответа код
    Режим реагирования запрос
    Подсказка по домену Вы можете оставить это пустым
    Идентификатор пользователя подводная лодка
    Отображаемое имя имя
    Личное имя given_name
    Фамилия фамилия
    Адрес электронной почты электронная почта
  5. Нажмите кнопку "Сохранить".

Настройка пользовательского потока

  1. В клиенте Azure AD B2C в разделе "Политики" выберите потоки пользователей.

  2. Выберите новый поток пользователя.

  3. Выберите "Регистрация и вход", выберите версию и нажмите кнопку "Создать".

  4. Введите Имя.

  5. В разделе Поставщики удостоверений выберите itsme.

  6. Нажмите кнопку "Создать".

  7. Откройте созданный поток пользователя, выбрав имя потока пользователя.

  8. Выберите «Свойства» и настройте следующие значения:

    • Измените время жизни токена доступа и идентификатора (минуты) на 5.
    • Измените время жизни скользящего окна обновления токена на Без срока действия.

Регистрация приложения

  1. В клиенте B2C в разделе Управление выберите Регистрация приложений и >.

  2. Укажите имя приложения и введите URI перенаправления. В целях тестирования введите https://jwt.ms.

  3. Убедитесь, что многофакторная аутентификация отключена.

  4. Выберите Зарегистрировать.

Чтобы использовать регистрацию этого приложения для тестирования потока пользователя, необходимо включить неявный поток предоставления:

  1. Выберите регистрацию приложения, которую вы создали.

  2. В разделе Управление выберите Проверка подлинности.

  3. В разделе "Неявное предоставление и гибридные потоки" установите флажки маркеров доступа (используемых для неявных потоков) и маркеров идентификатора (используемых для неявных и гибридных потоков).

  4. Нажмите кнопку "Сохранить".

Замечание

Если вы включаете неявный поток для тестирования пользовательского потока, отключите параметры неявного потока перед развертыванием приложения в продуктивной среде.

Тестирование потока пользователя

  1. В клиенте B2C в разделе Политики выберите Потоки пользователей.

  2. Выберите ранее созданный поток пользователя.

  3. Выберите Запустить пользовательский сценарий.

    a. В поле Приложение выберите приложение, которое вы зарегистрировали.

    б. В поле URL-адрес ответа выберите URL-адрес перенаправления, добавленный в приложение. В целях тестирования выберите https://jwt.ms.

  4. Появится страница Идентификация себя .

  5. Введите номер своего мобильного телефона и нажмите «Отправить».

  6. Подтвердите действие в приложении itsme.

Дальнейшие шаги

Дополнительные сведения см. в следующих статьях: