Definování technického profilu pro vystavitele tokenu SAML ve vlastních zásadách Azure Active Directory B2C
Poznámka
V Azure Active Directory B2C jsou vlastní zásady navržené primárně tak, aby řešily složité scénáře. U většiny scénářů doporučujeme používat předdefinované toky uživatelů. Pokud jste to ještě neudělali, přečtěte si o úvodním balíčku vlastních zásad v tématu Začínáme s vlastními zásadami v Active Directory B2C.
Azure Active Directory B2C (Azure AD B2C) při zpracování jednotlivých toků ověřování generuje několik typů tokenů zabezpečení. Technický profil vystavitele tokenu SAML vygeneruje token SAML, který se vrátí zpět do aplikace předávající strany (poskytovatele služeb). Tento technický profil je obvykle posledním krokem orchestrace na cestě uživatele.
Protokol
Atribut Name elementu Protocol musí být nastaven na SAML2hodnotu . Nastavte element OutputTokenFormat na SAML2.
Následující příklad ukazuje technický profil pro Saml2AssertionIssuer:
<TechnicalProfile Id="Saml2AssertionIssuer">
<DisplayName>Token Issuer</DisplayName>
<Protocol Name="SAML2"/>
<OutputTokenFormat>SAML2</OutputTokenFormat>
<Metadata>
<Item Key="IssuerUri">https://tenant-name.b2clogin.com/tenant-name.onmicrosoft.com/B2C_1A_signup_signin_SAML</Item>
<Item Key="TokenNotBeforeSkewInSeconds">600</Item>
</Metadata>
<CryptographicKeys>
<Key Id="MetadataSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
<Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
</CryptographicKeys>
<InputClaims/>
<OutputClaims/>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-issuer"/>
</TechnicalProfile>
Vstupní, výstupní a trvalé deklarace identity
Elementy InputClaims, OutputClaims a PersistClaims jsou prázdné nebo chybí. Chybí také elementy InutputClaimsTransformations a OutputClaimsTransformations .
Metadata
| Atribut | Povinné | Popis |
|---|---|---|
| IssuerUri | No | Název vystavitele, který se zobrazí v odpovědi SAML. Hodnota by měla být stejný název, jaký je nakonfigurovaný v aplikaci předávající strany. |
| XmlSignatureAlgorithm | No | Metoda, která Azure AD B2C používá k podepsání kontrolního výrazu SAML. Možné hodnoty: Sha256, Sha384, Sha512nebo Sha1. Ujistěte se, že jste na obou stranách nakonfigurovali algoritmus podpisu se stejnou hodnotou. Používejte pouze algoritmus, který váš certifikát podporuje. Informace o konfiguraci odpovědi SAML najdete v tématu Možnosti registrace aplikace SAML. |
| TokenNotBeforeSkewInSeconds | No | Určuje nerovnoměrnou distribuci jako celé číslo pro časové razítko, které označuje začátek období platnosti. Čím vyšší je toto číslo, tím dále v čase začíná období platnosti vzhledem k době, po kterou jsou deklarace identity vystaveny předávající straně. Pokud je například tokenNotBeforeSkewInSeconds nastavený na 60 sekund, pokud je token vystaven v čase 13:05:10 UTC, token je platný od 13:04:10 UTC. Výchozí hodnota je 0. Maximální hodnota je 3600 (jedna hodina). |
| TokenLifeTimeInSeconds | No | Určuje životnost kontrolního výrazu SAML. Tato hodnota je v sekundách od výše uvedené hodnoty NotBefore. Výchozí hodnota je 300 sekund (5 min). |
Kryptografické klíče
Element CryptographicKeys obsahuje následující atributy:
| Atribut | Povinné | Popis |
|---|---|---|
| Přiřazování metadat | Yes | Certifikát X509 (sada klíčů RSA), který se použije k podepisování metadat SAML. Azure AD B2C používá tento klíč k podepsání metadat. |
| SamlMessageSigning | Yes | Zadejte certifikát X509 (sada klíčů RSA), který se má použít k podepisování zpráv SAML. Azure AD B2C používá tento klíč k podepsání odpovědi <samlp:Response> odeslané předávající straně. |
| SamlAssertionSigning | No | Zadejte certifikát X509 (sada klíčů RSA), který se má použít k podepsání elementu kontrolního výrazu <saml:Assertion> SAML tokenu SAML. Pokud není k dispozici, SamlMessageSigning použije se místo toho kryptografický klíč. |
Správa relací
Pokud chcete nakonfigurovat Azure AD relace B2C SAML mezi aplikací předávající strany, atribut UseTechnicalProfileForSessionManagement elementu, odkaz na relaci Jednotného přihlašování SamlSSOSessionProvider.
Další kroky
Příklad použití technického profilu vystavitele SAML najdete v následujícím článku: