Definire un profilo tecnico per un'autorità di certificazione del token SAML nei criteri personalizzati di Azure Active Directory B2C
Nota
In Azure Active Directory B2C i criteri personalizzati sono stati progettati principalmente per far fronte a scenari complessi. Per la maggior parte degli scenari, è consigliabile usare i flussi utente predefiniti. In caso contrario, informazioni sul pacchetto di avvio dei criteri personalizzati in Introduzione ai criteri personalizzati in Active Directory B2C.
Azure Active Directory B2C (Azure AD B2C) rilascia tipi diversi di token di sicurezza durante l'elaborazione di ogni flusso di autenticazione. Un profilo tecnico per un'autorità di certificazione del token SAML emette un token SAML che viene restituito all'applicazione basata su attestazioni (provider di servizi). In genere questo profilo tecnico è l'ultimo passaggio di orchestrazione nel percorso utente.
Protocollo
L'attributo Nome dell'elemento Protocollo deve essere impostato su SAML2. Impostare l'elemento OutputTokenFormat su SAML2.
Nell'esempio seguente viene illustrato un profilo tecnico per Saml2AssertionIssuer:
<TechnicalProfile Id="Saml2AssertionIssuer">
<DisplayName>Token Issuer</DisplayName>
<Protocol Name="SAML2"/>
<OutputTokenFormat>SAML2</OutputTokenFormat>
<Metadata>
<Item Key="IssuerUri">https://tenant-name.b2clogin.com/tenant-name.onmicrosoft.com/B2C_1A_signup_signin_SAML</Item>
<Item Key="TokenNotBeforeSkewInSeconds">600</Item>
</Metadata>
<CryptographicKeys>
<Key Id="MetadataSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
<Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
</CryptographicKeys>
<InputClaims/>
<OutputClaims/>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-issuer"/>
</TechnicalProfile>
Input, output e attestazioni persistenti
Gli elementi InputClaims, OutputClaims e PersistClaims sono vuoti o assenti. Anche gli elementi InutputClaimsTransformations e OutputClaimsTransformations sono assenti.
Metadati
| Attributo | Obbligatoria | Descrizione |
|---|---|---|
| IssuerUri | No | Nome dell'autorità emittente visualizzato nella risposta SAML. Questo valore deve corrispondere al nome configurato nell'applicazione basata su attestazioni. |
| XmlSignatureAlgorithm | No | Metodo usato da Azure AD B2C per firmare l'asserzione SAML. I valori possibili sono: Sha256, Sha384, Sha512 o Sha1. Verificare di configurare l'algoritmo di firma per entrambe le parti con lo stesso valore. Usare solo l'algoritmo supportato dal certificato. Per configurare la risposta SAML, vedere Opzioni per la registrazione di un'applicazione SAML |
| TokenNotBeforeSkewInSeconds | No | Specifica l'asimmetria, come intero, per il timestamp che contrassegna l'inizio del periodo di validità. Il numero più alto è, il periodo di validità del periodo di validità inizia rispetto al momento in cui le attestazioni vengono rilasciate per la relying party. Ad esempio, quando tokenNotBeforeSkewInSeconds è impostato su 60 secondi, se il token viene rilasciato alle 13:05:10 UTC, il token è valido dalle 13:04:10 UTC. Il valore predefinito è 0. Il valore massimo è 3600 (un'ora). |
| TokenLifeTimeInSeconds | No | Specifica la vita dell'asserzione SAML. Questo valore è in secondi dal valore NotBefore a cui si fa riferimento sopra. Il valore predefinito è 300 secondi (5 min). |
Chiavi crittografiche
L'elemento CryptographicKeys contiene gli attributi seguenti:
| Attributo | Obbligatoria | Descrizione |
|---|---|---|
| MetadataSigning | Sì | Certificato X509 (set di chiavi RSA) da usare per firmare i metadati SAML. Azure AD B2C usa questa chiave per firmare i metadati. |
| SamlMessageSigning | Sì | Specificare il certificato X509 (set di chiavi RSA) da usare per firmare i messaggi SAML. Azure AD B2C usa questa chiave per firmare la risposta <samlp:Response> inviata all'applicazione basata su attestazioni. |
| SamlAssertionSigning | No | Specificare il certificato X509 (set di chiavi RSA) da usare per firmare l'elemento asserzione <saml:Assertion> SAML del token SAML. In caso contrario, viene usata la SamlMessageSigning chiave crittografica. |
Gestione delle sessioni
Per configurare le sessioni SAML di Azure AD B2C tra un'applicazione basata su attestazioni e l'attributo dell'elemento UseTechnicalProfileForSessionManagement, fare riferimento alla sessione Single Sign-On SamlSSOSessionProvider.
Passaggi successivi
Per esempi relativi all'uso di un profilo tecnico dell'autorità di certificazione SAML, vedere gli articoli seguenti: