Loading

Configuration d’un fournisseur d’authentification Azure AD B2C

Date de publication: Feb 19, 2026
Description
Les fournisseurs d’authentification OpenID Connect (OIDC) dans Salesforce nécessitent un point de terminaison d’informations utilisateur, mais Azure AD B2C n’en fournit pas par défaut. Il est donc nécessaire, pour configurer un fournisseur d’authentification Azure AD, de suivre certaines étapes supplémentaires par rapport à la procédure classique.

Remarque : le fournisseur d’authentification Microsoft introduit dans la version Summer ’22 ne peut pas être utilisé pour Azure AD B2C en raison des différentes URL de point de terminaison d’autorisation/jeton attendues.
Résolution

Étapes de configuration d’un fournisseur d’authentification Azure AD B2C

a) Comme l’explique l’article Exemple : Configuration d’un fournisseur d’authentification Azure AD, vous devez créer une inscription d’application dans le locataire B2C, ainsi qu’un fournisseur d’authentification dans Salesforce. Définissez les paramètres suivants :

Clé consommateur : ID d’application (client), comme indiqué sur la page des informations d’inscription de l’application Azure AD B2C
Secret consommateur : secret client tel que configuré lors de l’inscription de l’application Azure AD B2C
Autoriser l’URL du point de terminaison : https://votrelocataire.b2clogin.com/votrelocataire.onmicrosoft.com/<nom-de-la-stratégie>/oauth2/v2.0/authorize
URL du point de terminaison du jeton : https://votrelocataire.b2clogin.com/votrelocataire.onmicrosoft.com/<nom-de-la-stratégie>/oauth2/v2.0/token
Émetteur du jeton : https://votrelocataire.b2clogin.com/<ID du répertoire (locataire)>/v2.0/
Étendues par défaut : ID d’application (client) comme indiqué sur la page des informations d’inscription de l’application openid offline_access

À titre d’exemple, si l’ID de l’application est 90c0fe63-bcf2-44d5-8fb7-b8bbc0b29dc6, les étendues par défaut doivent être 

90c0fe63-bcf2-44d5-8fb7-b8bbc0b29dc6 openid offline_access

Notez que vous devriez pouvoir visualiser les URL des points de terminaison d’authentification et de jeton, l’émetteur du jeton et les revendications configurées sur le site https://yourtenant.b2clogin.com/yourtenant.onmicrosoft.com/<nom-de-la-stratégie>/v2.0/.well-known/openid-configuration.

b) Mettez à jour l’URL de redirection ou l’URL de rappel dans l’inscription de votre application.

c) Activez le point de terminaison UserInfo dans votre instance Azure AD B2C en créant une stratégie personnalisée. Pour cela, suivez les étapes mentionnées dans l’article Point de terminaison UserInfo.

Assurez-vous que la section InputClaims de UserInfoIssuer utilise les valeurs PartnerClaimType suivantes :

  <InputClaims>
    <InputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub" />
    <InputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
    <InputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" />
    <InputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="full_name" />
    <InputClaim ClaimTypeReferenceId="signInNames.emailAddress" PartnerClaimType="preferred_username" />
  </InputClaims>

et que la section OutputClaims de UserInfoAuthorization se présente comme suit :

<OutputClaims>
  <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
  <OutputClaim ClaimTypeReferenceId="signInNames.emailAddress" PartnerClaimType="email" />
  <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name"/>
  <OutputClaim ClaimTypeReferenceId="surname »PartnerClaimType="family_name"/>
  <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name"/>
</OutputClaims>

Notez que https://votrelocataire.b2clogin.com/votrelocataire.onmicrosoft.com/<nom-de-la-stratégie>/v2.0/.well-known/openid-configuration doit afficher une nouvelle propriété « userinfo_endpoint ».

d) Mettez à jour l’URL de point de terminaison d’informations utilisateur dans le fournisseur d’authentification.

URL de point de terminaison d’informations utilisateur : https://votrelocataire.b2clogin.com/votrelocataire.onmicrosoft.com/<nom-de-la-stratégie>/openid/v2.0/userinfo

e) Créez un gestionnaire d’enregistrement

Notez que la méthode createUser() sera invoquée s’il n’y a pas d’enregistrement ThirdPartyAccountLink (TPAL) correspondant pour cette combinaison d’utilisateur et de fournisseur d’authentification. De plus, pour garantir un fonctionnement adéquat dans le cas où l’utilisateur a été créé dans Salesforce avant de configurer le fournisseur d’authentification, assurez-vous que la méthode createUser() renvoie un enregistrement utilisateur existant. Pour plus d’informations sur ce scénario, cliquez ici.

f) Dans une fenêtre de navigation privée, testez le flux SSO en accédant à l’URL dédiée aux tests du fournisseur d’authentification.


Dépannage

a) Assurez-vous qu’un point de terminaison d’informations utilisateur est renvoyé par https://votrelocataire.b2clogin.com/votrelocataire.onmicrosoft.com/<nom-de-la stratégie>/v2.0/.well-known/openid-configuration. Sinon, relisez les étapes mentionnées ici.

b) Obtenez un jeton d’accès :

b.1 Accédez à l’URL dédiée aux tests du fournisseur d’authentification. Vous serez redirigé vers le point de terminaison d’autorisation.
b.2) Connectez-vous à Azure B2C.
b.3) Inspectez les requêtes HTTP et obtenez le code d’autorisation. Vous pourrez le visualiser dans la réponse à cette requête GET :

GET https://{locataire}.b2clogin.com/{locataire}.onmicrosoft.com/{stratégie}/oauth2/v2.0/authorize?client_id=<ID-de-l’application>

b.4) À partir de cette étape, obtenez un jeton d’accès en envoyant cette requête :

POST https://{locataire}.b2clogin.com/{locataire}.onmicrosoft.com/{stratégie}/oauth2/v2.0/token HTTP/1.1

Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&
client_id=<ID-de-l’application>&
client_secret=<secret-client>&
scope=<ID-de-l’application> openid offline_access&
code=AwA...&
redirect_uri=<URL-de-rappel-du-fournisseur-d’authentification>

c) Obtenez les détails d’UserInfo. Envoyez une requête GET au point de terminaison UserInfo à l’aide du jeton d’accès précédemment obtenu.

GET https://{locataire}.b2clogin.com/{locataire}.onmicrosoft.com/{stratégie}/oauth2/v2.0/userinfo

Autorisation : Bearer <jeton-d’accès>

d) Déboguez votre gestionnaire d’enregistrement pour vous assurer qu’il compare correctement la revendication d’informations utilisateur OpenId Connect aux attributs utilisateur.
Numéro d’article de la base de connaissances

000393769

 
Chargement
Salesforce Help | Article