Configurar un directorio de identidades para aplicaciones orientadas al consumidor es una de las tareas más importantes cuando se diseña una arquitectura de autenticación moderna. A continuación se recorre paso a paso la creación de un Azure Active Directory B2C, el registro de una aplicación, la creación de un usuario y la ejecución de un user flow básico de inicio de sesión, todo directamente desde el portal de Azure.
¿Cómo se crea un tenant de Azure Active Directory B2C?
Antes de crear cualquier recurso es fundamental verificar en qué suscripción y en qué directorio (también llamado tenant) se está trabajando [0:18]. Que un usuario haya iniciado sesión no significa que tenga permisos para realizar cualquier operación; los permisos dependen de la suscripción asociada a esa cuenta.
Para localizar el servicio se puede ir a All Services y buscar Active Directory [1:00]. Allí se visualizan las propiedades del tenant actual, incluido el tenant ID y el dominio principal. Este dato es relevante porque al crear un nuevo directorio B2C se genera un tenant completamente distinto.
El proceso de creación se inicia con Crear un recurso y buscar "B2C" [1:36]. Al seleccionar la opción correspondiente se accede al plan de precios donde, al momento de la grabación, los primeros 50 000 usuarios activos al mes están incluidos de forma gratuita [1:52]. Un usuario activo se define como aquel que inicia sesión al menos una vez durante el mes, sin importar cuántas veces lo haga.
¿Qué configuración inicial requiere el tenant?
- Nombre de la organización: en el ejemplo se usa "Curso Platzi AD" [2:30].
- Dominio inicial: se asigna un subdominio bajo
onmicrosoft.com que posteriormente puede cambiarse a un dominio personalizado [2:40].
- Ubicación: se recomienda elegir el país más cercano a donde se opera [3:10].
- Grupo de recursos: se crea uno nuevo (por ejemplo, "curso AD") y se asigna una región como West US [3:50].
Una vez completados estos campos se revisa y se confirma la creación. Es importante recordar que la URL de inicio de sesión seguirá el formato nombreDelTenant.b2clogin.com [4:28].
¿Cómo se cambia al nuevo directorio B2C?
Al terminar la creación, el portal sigue mostrando el directorio original. Para gestionar el nuevo tenant se debe hacer clic en Switch directory [5:08]. Este paso es muy común cuando se trabaja con Active Directory B2C, ya que cada directorio opera de forma independiente.
¿Cómo se registran usuarios y aplicaciones en el nuevo directorio?
Dentro del tenant recién creado, de forma predeterminada aparece únicamente la cuenta con la que se creó el directorio [5:30]. Para agregar un nuevo usuario de tipo B2C user se indica el método de inicio de sesión —puede ser username o email— y se asigna un identificador como luis@developers.com [5:55]. El correo no se valida como dirección real; funciona solo como identificador. Se genera una contraseña automática que conviene copiar para pruebas posteriores [6:20].
Para registrar una aplicación se accede a App registrations y se crea una nueva [6:42]:
- Se define el tipo de cuentas soportadas: single tenant, multitenant o cuentas B2C con user flows y políticas personalizadas.
- Se establece la URI de respuesta, en este caso
jwt.ms, útil para inspeccionar tokens.
- Se habilita la generación de access tokens e ID tokens en la sección de autenticación [7:28].
Al registrar la aplicación se obtiene el Application ID, un identificador único que termina en formato v4 [7:18].
¿Qué es un user flow y cómo se ejecuta?
Un user flow es la definición del flujo de interacción que seguirá el usuario al autenticarse. En el ejemplo se crea uno de tipo sign up and sign in con la versión recomendada [7:50]. La configuración incluye:
- Proveedor de identidad: cuenta local con correo electrónico [8:14].
- Autenticación multifactor (MFA): deshabilitada para esta demostración, aunque puede activarse [8:22].
- Atributos recolectados: ciudad y país; claims retornados: nombre y apellido [8:32].
Al ejecutar el flujo con Run user flow se selecciona la aplicación y la URL de respuesta [8:52]. El navegador muestra la interfaz predeterminada de inicio de sesión bajo el dominio b2clogin.com. Tras ingresar las credenciales del usuario creado, el sistema valida la autenticación y devuelve un token que contiene los claims configurados —en este caso, el nombre y apellido del usuario [9:18].
Si quieres profundizar en la personalización de estos flujos y en cómo adaptar la experiencia de inicio de sesión a tu marca, comparte tus dudas y avances en los comentarios.
