Loading

Konfigurieren eines Azure AD B2C-Authentifizierungsanbieters

Veröffentlichungsdatum: Feb 19, 2026
Beschreibung
OpenID Connect (OIDC) Authentifizierungsanbieter in Salesforce erfordern einen Benutzerinfo-Endpunkt. Da Azure AD B2C jedoch standardmäßig keinen solchen bereitstellt, müssen neben den Schritten zur Einrichtung eines Azure AD-Authentifizierungsanbieters bestimmte zusätzliche Schritte ausgeführt werden.

Hinweis: Der Microsoft-Authentifizierungsanbieter, der in der Version Summer '22 eingeführt wurde, kann für Azure AD B2C nicht verwendet werden, da sich die erwarteten Autorisierungs-/Token-Endpunkt-URLs unterscheiden.
Lösung

Schritte zur Konfiguration eines Azure AD BC-Authentifizierungsanbieters

a) Erstellen Sie, wie im Artikel "Beispiel: Konfigurieren eines Azure AD-Authentifizierungsanbieters" beschrieben, eine App-Registrierung im B2C-Mandanten und einen Authentifizierungsanbieter in Salesforce. Richten Sie die folgenden Parameter ein:

Verbraucherschlüssel: Anwendungs-ID (Client-ID), wie auf der Detailseite "Azure AD B2C App-Registrierung" angegeben
Verbrauchergeheimnis: Client-Geheimnis gemäß der Konfiguration in der Azure AD B2C App-Registrierung
Autorisierungsendpunkt-URL: https://yourtenant.b2clogin.com/yourtenant.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize
Token-Endpunkt-URL: https://yourtenant.b2clogin.com/yourtenant.onmicrosoft.com/<policy-name>/oauth2/v2.0/token
Tokenaussteller: https://yourtenant.b2clogin.com/<Directory (tenant) ID>/v2.0/
Standardgeltungsbereich: Anwendungs-ID (Client-ID), wie bei openid offline_access auf der Detailseite zur App-Registrierung angegeben

Wenn die App-ID zum Beispiel 90c0fe63-bcf2-44d5-8fb7-b8bbc0b29dc6 lautet, wäre der entsprechende Geltungsbereich 

90c0fe63-bcf2-44d5-8fb7-b8bbc0b29dc6 openid offline_access

Die Authentifizierungs- und Token-Endpunkt-URLs, der Tokenaussteller und die konfigurierten Claims sollten unter https://yourtenant.b2clogin.com/yourtenant.onmicrosoft.com/<policy-name>/v2.0/.well-known/openid-configuration zu finden sein.

b) Aktualisieren Sie die Umleitungs-URI bzw. Callback-URL in Ihrer App-Registrierung.

c) Aktivieren Sie den UserInfo-Endpunkt in Ihrer Azure AD B2C-Instanz, um eine benutzerdefinierte Richtlinie zu erstellen, wie im Artikel UserInfo-Endpunkt beschrieben.

Vergewissern Sie sich, dass im Abschnitt InputClaims von UserInfoIssuer die folgenden PartnerClaimType-Werte verwendet werden:

  <InputClaims>
    <InputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub" />
    <InputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
    <InputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" />
    <InputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="full_name" />
    <InputClaim ClaimTypeReferenceId="signInNames.emailAddress" PartnerClaimType="preferred_username" />
  </InputClaims>

und der OutputClaims-Abschnitt bei UserInfoAuthorization wie folgt lautet:

<OutputClaims>
  <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
  <OutputClaim ClaimTypeReferenceId="signInNames.emailAddress" PartnerClaimType="email" />
  <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name"/>
  <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name"/>
  <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name"/>
</OutputClaims>

Sie sollten nun bei https://yourtenant.b2clogin.com/yourtenant.onmicrosoft.com/<policy-name>/v2.0/.well-known/openid-configuration nun eine neue "userinfo_endpoint"-Eigenschaft sehen.

d) Aktualisieren Sie die Benutzerinfo-Endpunkt-URL im Authentifizierungsanbieter.

Benutzerinfo-Endpunkt-URL: https://yourtenant.b2clogin.com/yourtenant.onmicrosoft.com/<policy-name>/openid/v2.0/userinfo

e) Erstellen Sie einen Registrierungshandler

Beachten Sie, dass die createUser()-Methode aufgerufen wird, wenn für diese Kombination von Benutzer und Authentifizierungsanbieter kein entsprechender ThirdPartyAccountLink-Datensatz (TPAL-Datensatz) vorhanden ist. Vergewissern Sie sich außerdem, dass die createUser()-Methode einen bestehenden Datensatz zurückgibt. So können Szenarien berücksichtigt werden, bei denen der Benutzer in Salesforce erstellt wurde, bevor der Authentifizierungsanbieter eingerichtet wurde. Weitere Informationen zu diesem Szenario finden Sie hier.

f) Rufen Sie die Test-URL des Authentifizierungsanbieters in einem Inkognito-Fenster auf, um den SSO-Flow zu testen.


Fehlerbehebung

a) Vergewissern Sie sich, dass von https://yourtenant.b2clogin.com/yourtenant.onmicrosoft.com/<policy-name>/v2.0/.well-known/openid-configuration ein Benutzerinfo-Endpunkt zurückgegeben wird. Sollte dies nicht der Fall sein, führen Sie die hier beschriebenen Schritte erneut aus.

b) Zugriffstoken abrufen:

b.1) Rufen Sie die Test-URL des Authentifizierungsanbieters auf. Sie werden nun zum Autorisierungsendpunkt weitergeleitet.
b.2) Melden sie sich bei Azure B2C an.
b.3) Überprüfen Sie die HTTP-Anforderungen und rufen Sie den Autorisierungscode ab. Die Antwort dieser GET-Anfrage enthält folgende Information:

GET https://{tenant}.b2clogin.com/{tenant}.onmicrosoft.com/{policy}/oauth2/v2.0/authorize?client_id=<app-id>

b.4) Um den Zugriffstoken abzurufen, senden Sie nun die folgende POST-Anfrage:

POST https://{tenant}.b2clogin.com/{tenant}.onmicrosoft.com/{policy}/oauth2/v2.0/token HTTP/1.1

Inhaltstyp: application/x-www-form-urlencoded

grant_type=authorization_code&
client_id=<app-id>&
client_secret=<client-secret>&
scope=<app-id> openid offline_access&
code=AwA...&
redirect_uri=<auth-provider-callback-url>

c) Rufen Sie die UserInfo-Details ab. Senden Sie mit dem eben abgerufenen Zugriffstoken eine GET-Anfrage an den UserInfo-Endpunkt.

GET https://{tenant}.b2clogin.com/{tenant}.onmicrosoft.com/{policy}/oauth2/v2.0/userinfo

Autorisierung: Bearer <access-token>

d) Debuggen Sie Ihren Registrierungshandler, um sicherzustellen, dass er den Benutzerinfo-Claim in OpenID Connect korrekt mit den Benutzerattributen vergleicht.
Nummer des Knowledge-Artikels

000393769

 
Laden
Salesforce Help | Article