Självstudie: Konfigurera IDEMIA Mobile ID med Azure Active Directory B2C

Innan du börjar

Azure Active Directory B2C (Azure AD B2C) har två metoder för att definiera användarnas interaktion med program: fördefinierade användarflöden eller konfigurerbara anpassade principer. Se Översikt över användarflöden och anpassade principer

Integrera Azure AD B2C med IDEMIA Mobile ID

IDEMIA tillhandahåller biometriska autentiseringstjänster som ansikts-ID och fingeravtryck, vilket minskar bedrägerier och återanvändning av autentiseringsuppgifter. Med Mobilt ID kan medborgarna dra nytta av ett betrott, statligt utfärdat digitalt ID, som ett komplement till sitt fysiska ID. Mobil-ID verifierar identiteten med hjälp av en självvald PIN-kod, Touch ID eller Face ID. Medborgarna kontrollerar sina identiteter genom att dela information som behövs för en transaktion. Många statliga avdelningar för motorfordon (DMV) använder mobilt ID.

Mer information finns i idemia.com: IDEMIA

Scenariobeskrivning

Integrering av mobilt ID omfattar följande komponenter:

• Azure AD B2C – auktoriseringsserver som verifierar användarautentiseringsuppgifter
  • Det är även känt som en identitetsleverantör (IdP)
• IDEMIA Mobile ID – OpenID Connect-provider (OIDC) konfigurerad som en extern Azure AD B2C-provider
  • Se till att Lägga till en identitetsleverantör i din Azure AD B2C-klient
• IDEMIA Mobile ID-applikation – en digital version av ett körkort, eller statligt utfärdat ID, i en app på din telefon
  • Se IDEMIA Mobil-ID

Mobilt ID är en digitaliserad identitetshandling, en portabel mobil identitetstoken som DMV:er använder för att verifiera individuella identiteter. Det signerade digitala ID:t lagras på användarens mobiltelefoner som en identitet i periferin. De signerade autentiseringsuppgifterna underlättar åtkomsten till identitetstjänster som bevis på ålder, finansiell kundkännedom, kontoåtkomst etc.

Följande diagram illustrerar användarflödena för registrering och inloggning med Mobile ID.

1. Användaren besöker Azure AD B2C-inloggningssidan (den svarande parten) med sin enhet och sitt mobil-ID för att utföra en transaktion.
2. Azure AD B2C utför en ID-kontroll. Den omdirigerar användaren till IDEMIA-routern med ett OIDC-auktoriseringskodflöde.
3. Routern skickar en biometrisk utmaning till användarens mobilapp med information om autentisering och auktoriseringsbegäran.
4. Beroende på säkerhet kan användaren uppmanas att ange mer information: ange en PIN-kod, ta en live-selfie eller både och.
5. Autentiseringssvaret ger bevis på innehav, närvaro och medgivande. Svaret återgår till routern.
6. Routern verifierar användarinformation och svarar på Azure AD B2C med resultatet.
7. Användaren beviljas eller nekas åtkomst.

Aktivera mobil-ID

För att komma igång, gå till sidan idemia.com Kontakta oss för att begära en demo. I textfältet för begärandeformuläret anger du ditt intresse för Azure AD B2C-integrering.

Integrera mobilt ID med Azure AD B2C

Använd följande avsnitt för att förbereda för och utföra integreringsprocesser.

Förutsättningar

För att komma igång behöver du:

• Åtkomst för användare med en Mobilt ID-kod (mID) utfärdad av en amerikansk delstat av IDEMIA.

  • Eller under testfasen, mID-demoapplikationen från IDEMIA

• En prenumeration på Azure

  • Om du inte har något får du ett kostnadsfritt Azure-konto

• En Azure AD B2C-klientorganisation kopplad till Azure-abonnemanget

• Ditt företags webbprogram som är registrerat i en Azure AD B2C-klientorganisation

  • För testning konfigurerar du https://jwt.ms, ett Microsoft-webbprogram med avkodat tokeninnehåll

  Anmärkning

  Tokeninnehållet lämnar inte webbläsaren.

Skicka in en ansökan för betroende part för mID

Vid integrering av mobilt ID tillhandahålls följande information.

Skapa en principnyckel

Lagra den angivna IDEMIA-klienthemligheten i din Azure AD B2C-instans. För följande instruktioner, använd katalogen som innehåller din Azure AD B2C-målklient.

1. Logga in på Azure-portalen.
2. I portalverktygsfältet väljer du Kataloger + prenumerationer.
3. På sidan Portalinställningar, Kataloger + prenumerationer , går du till listan Katalognamn och letar reda på din Azure AD B2C-katalog
4. Välj Växla.
5. I det övre vänstra hörnet i Azure Portal väljer du Alla tjänster.
6. Sök efter och välj Azure AD B2C.
7. På sidan Översikt väljer du Identity Experience Framework.
8. Välj Principnycklar.
9. Välj Lägg till.
10. För Alternativ väljer du Manuell.
11. Ange ett Namn för principnyckeln. Till exempel IdemiaAppSecret. Prefixet B2C_1A_ läggs till i nyckelnamnet.
12. I Hemlighet anger du den klienthemlighet som du noterade.
13. För Nyckelanvändning väljer du Signatur.
14. Välj Skapa.

Konfigurera mobil-ID som en extern IdP

Om du vill att användare ska kunna logga in med mobil-ID definierar du IDEMIA som en anspråksprovider. Den här åtgärden säkerställer att Azure AD B2C kommunicerar via en slutpunkt, vilket ger anspråk som Azure AD B2C använder för att verifiera användarautentisering med biometri.

Om du vill definiera IDEMIA som en anspråksprovider lägger du till den i elementet ClaimsProvider i principtilläggsfilen.

     <TechnicalProfile Id="Idemia-Oauth2">
          <DisplayName>IDEMIA</DisplayName>
          <Description>Login with your IDEMIA identity</Description>
          <Protocol Name="OAuth2" />
          <Metadata>
            <Item Key="METADATA">https://idp.XXXX.net/oxauth/.well-known/openid-configuration</Item>
            <!-- Update the Client ID below to the Application ID -->
            <Item Key="client_id">00001111-aaaa-2222-bbbb-3333cccc4444</Item>
            <Item Key="response_types">code</Item>
            <Item Key="scope">openid id_basic mt_scope</Item>
            <Item Key="response_mode">form_post</Item>
            <Item Key="HttpBinding">POST</Item>
            <Item Key="UsePolicyInRedirectUri">false</Item>
            <Item Key="token_endpoint_auth_method">client_secret_basic</Item>
            <Item Key="ClaimsEndpoint">https://idp.XXXX.net/oxauth/restv1/userinfo</Item>
            <Item Key="ValidTokenIssuerPrefixes">https://login.microsoftonline.com/</Item>
          </Metadata>
          <CryptographicKeys>
            <Key Id="client_secret" StorageReferenceId="B2C_1A_IdemiaAppSecret" />
</CryptographicKeys>
          <InputClaims>
            <InputClaim ClaimTypeReferenceId="acr" PartnerClaimType="acr_values" DefaultValue="loa-2" />
          </InputClaims>
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
            <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" />
            <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="firstName1" />
            <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="lastName1" />
            <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
            <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="idemia" />
            <OutputClaim ClaimTypeReferenceId="documentId" />
            <OutputClaim ClaimTypeReferenceId="address1" />
          </OutputClaims>
          <OutputClaimsTransformations>
            <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
            <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
            <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
            <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
          </OutputClaimsTransformations>
          <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
        </TechnicalProfile>
           

Ange client_id till program-ID:t från programregistreringen.

Välj något av följande värden:

Slutpunkten /userinfo tillhandahåller anspråken för de omfång som begärs i auktoriseringsbegäran. För mt_scope<> finns det påståenden som förnamn, efternamn och körkortsnummer, bland annat. Anspråken som angetts för ett omfång publiceras i avsnittet scope_to_claims_mapping i identifierings-API:et. Azure AD B2C begär anspråk från anspråksslutpunkten och returnerar dem i elementet OutputClaims. Du kan behöva mappa anspråksnamnet i din policy till namnet i IdP:n. Definiera anspråkstypen i elementet ClaimSchema:

<ClaimType Id="documentId">
     <DisplayName>documentId</DisplayName>
     <DataType>string</DataType>
</ClaimType>
<ClaimType Id="address1">
     <DisplayName>address</DisplayName>
     <DataType>string</DataType>
</ClaimType>

Lägg till en användarresa

För de här anvisningarna är IdP:n konfigurerad, men den finns inte på någon inloggningssida. Om du inte har en anpassad användarresa kopierar du en mallanvändarresa.

1. Öppna filen från startpaketet TrustFrameworkBase.xml .
2. Leta upp och kopiera innehållet i elementet UserJourneys , som innehåller ID=SignUpOrSignIn.
3. Öppna TrustFrameworkExtensions.xml.
4. Leta upp elementet UserJourneys . Om det inte finns något element lägger du till ett.
5. Klistra in innehållet i UserJourney-elementet som ett barn till UserJourneys-elementet.
6. Byt namn på användarens rese-ID. Till exempel ID=CustomSignUpSignIn.

Lägg till IdP:n i en användarens resa

Om det finns en användarresa kan du lägga till den nya IdP:n till den. Lägg först till en inloggningsknapp och länka den sedan till en åtgärd, vilket är den tekniska profil som du skapade.

1. Leta upp orkestreringsstegelementet med Type=CombinedSignInAndSignUp eller Type=ClaimsProviderSelection under användarresan. Det är vanligtvis det första orkestreringssteget. Elementet ClaimsProviderSelections har en IdP-lista som användarna loggar in med. Ordningen på elementkontrollerna är ordningen på de inloggningsknappar som användaren ser.
2. Lägg till ett ClaimsProviderSelection XML-element.
3. Ange värdet TargetClaimsExchangeId till ett eget namn.
4. Lägg till ett ClaimsExchange-element .
5. Ange ID:t till värdet för målanspråkens utbytes-ID.
6. Uppdatera värdet TechnicalProfileReferenceId till det tekniska profil-ID som du skapade.

Följande XML visar de två första orkestreringsstegen i en användarresa med IdP:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="IdemiaExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="IdemiaExchange" TechnicalProfileReferenceId="Idemia-Oauth2" />
  </ClaimsExchanges>
</OrchestrationStep>

Konfigurera policyn för den förlitande parten

Policyn för förlitande part, till exempel SignUpSignIn.xml, anger den användarresa som Azure AD B2C genomför.

1. Leta reda på elementet DefaultUserJourney i den förlitande parten.
2. Uppdatera ReferenceId så att det matchar användarrese-ID:t, där du lade till IdP:n.

I följande exempel är CustomSignUpOrSignIn inställt på för användarresan CustomSignUpOrSignIn.

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Ladda upp den anpassade policyn

För följande instruktioner, använd katalogen som innehåller din Azure AD B2C-målklient.

1. Logga in på Azure-portalen.

2. I portalens verktygsfält väljer du Kataloger + prenumerationer.

3. På sidan Portalinställningar, Kataloger + prenumerationer, leta i listan Katalognamn efter din Azure AD B2C-katalog.

4. Välj Växla.

5. I Azure Portal söker du efter och väljer Azure AD B2C.

6. Under kategorin Principer väljer du Identity Experience Framework.

7. Välj Ladda upp anpassad policy.

8. Ladda upp de två principfilerna som du har ändrat i följande ordning:

   • Förlängningspolicy, till exempel TrustFrameworkExtensions.xml
   • Policyn för förlitandepart, till exempel SignUpSignIn.xml

Testa din anpassade policy

1. Välj din policy för förlitande part, till exempel B2C_1A_signup_signin.
2. För Program väljer du ett webbprogram som du har registrerat.
3. https://jwt.ms visas för Reply URL.
4. Välj kör nu.
5. På registrerings- eller inloggningssidan väljer du IDEMIA.
6. Webbläsaren omdirigeras till https://jwt.ms. Se tokeninnehållet som returneras av Azure AD B2C.

Läs mer: Självstudie: Registrera ett webbprogram i Azure AD B2C

Nästa steg

• Översikt över anpassad princip i Azure AD B2C
• Självstudie: Skapa användarflöden och anpassade principer i Azure AD B2C
• Gå till idemia.com för Mobilt ID: Bevisa din identitet med större sekretess