Azure Active Directory B2C'de SAML protokolü kullanarak Salesforce SAML sağlayıcısıyla oturum açmayı ayarlama

Başlamadan önce, ayarladığınız ilke türünü seçmek için İlke türü seçin seçicisini kullanın. Azure Active Directory B2C, kullanıcıların uygulamalarınızla nasıl etkileşim kurduğunu tanımlamak için iki yöntem sunar: önceden tanımlanmış kullanıcı akışları veya tam olarak yapılandırılabilir özel ilkeler aracılığıyla. Bu makalede gerekli adımlar her yöntem için farklıdır.

Bu özellik yalnızca özel ilkeler için kullanılabilir. Kurulum adımları için, önceki seçicide Özel ilke'yi seçin.

Dekont

Azure Active Directory B2C'de özel ilkeler öncelikli olarak karmaşık senaryoları ele almak için tasarlanmıştır. Çoğu senaryoda, yerleşik kullanıcı akışlarını kullanmanızı öneririz. Bunu yapmadıysanız, Active Directory B2C'de özel ilkeleri kullanmaya başlama bölümünde özel ilke başlangıç paketi hakkında bilgi edinin.

Bu makalede, Azure Active Directory B2C'de (Azure AD B2C) özel ilkeler kullanarak Salesforce kuruluşundaki kullanıcılar için oturum açmayı etkinleştirme adımları gösterilmektedir. Özel bir ilkeye SAML kimlik sağlayıcısı ekleyerek oturum açmayı etkinleştirirsiniz.

Önkoşullar

• Active Directory B2C'de özel ilkeleri kullanmaya başlama bölümündeki adımları tamamlayın.
• Henüz yapmadıysanız bir web uygulaması kaydedin.

• Henüz yapmadıysanız ücretsiz bir Geliştirici Sürümü hesabına kaydolun. Bu makalede Salesforce Lightning Experience kullanılır.
• Salesforce kuruluşunuz için Bir Etki Alanım ayarlayın.

Salesforce'un kimlik sağlayıcısı olarak ayarlanması

1. Salesforce'ta oturum açın.
2. Soldaki menüde, Ayarlar altında Kimlik'i genişletin ve kimlik sağlayıcısı'nı seçin.
3. Kimlik Sağlayıcısını Etkinleştir'i seçin.
4. Sertifikayı seçin altında Salesforce'un Azure AD B2C ile iletişim kurmak için kullanmasını istediğiniz sertifikayı seçin. Varsayılan sertifikayı kullanabilirsiniz.
5. Kaydet'e tıklayın.

Salesforce'ta bağlı uygulama oluşturma

1. Kimlik Sağlayıcısı sayfasında Hizmet Sağlayıcıları artık Bağlan Uygulamalar aracılığıyla oluşturuldu'yı seçin. Buraya tıklayın.

2. Temel Bilgiler'in altında, bağlı uygulamanız için gerekli değerleri girin.

3. Web Uygulaması Ayarlar altında SAML'yi Etkinleştir kutusunu işaretleyin.

4. Varlık Kimliği alanına aşağıdaki URL'yi girin. değerini your-tenant Azure AD B2C kiracınızın adıyla değiştirdiğinizden emin olun.

   https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase
   

   Özel etki alanı kullanırken aşağıdaki biçimi kullanın:

   https://your-domain-name/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase
   

5. ACS URL'si alanına aşağıdaki URL'yi girin. değerini your-tenant Azure AD B2C kiracınızın adıyla değiştirdiğinizden emin olun.

   https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase/samlp/sso/assertionconsumer
   

   Özel etki alanı kullanırken aşağıdaki biçimi kullanın:

   https://your-domain-name/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase/samlp/sso/assertionconsumer
   

6. Listenin en altına gidin ve Kaydet'e tıklayın.

Meta veri URL'sini alma

1. Bağlı uygulamanızın genel bakış sayfasında Yönet'e tıklayın.
2. Meta Veri Bulma Uç Noktası değerini kopyalayın ve kaydedin. Bu makalenin devamında kullanacaksınız.

Salesforce kullanıcılarını federasyona ayarlama

1. Bağlı uygulamanızın Yönet sayfasında Profilleri Yönet'e tıklayın.
2. Azure AD B2C ile birleştirmek istediğiniz profilleri (veya kullanıcı gruplarını) seçin. Bir sistem yöneticisi olarak, Salesforce hesabınızı kullanarak federasyon oluşturabilmeniz için Sistem Yönetici istrator onay kutusunu seçin.

Otomatik olarak imzalanan sertifika oluşturma

Henüz bir sertifikanız yoksa, otomatik olarak imzalanan bir sertifika kullanabilirsiniz. Otomatik olarak imzalanan sertifika, sertifika yetkilisi (CA) tarafından imzalanmayan ve CA tarafından imzalanan bir sertifikanın güvenlik garantilerini sağlamayan bir güvenlik sertifikasıdır.

Windows

Windows'da, sertifika oluşturmak için PowerShell'de New-SelfSignedCertificate cmdlet'ini kullanın.

1. Otomatik olarak imzalanan bir sertifika oluşturmak için aşağıdaki PowerShell komutunu çalıştırın. bağımsız değişkenini -Subject uygulamanız ve Azure AD B2C kiracı adı gibi uygun şekilde contosowebapp.contoso.onmicrosoft.comdeğiştirin. Ayrıca, sertifika için -NotAfter farklı bir süre sonu belirtmek üzere tarihi ayarlayabilirsiniz.

   New-SelfSignedCertificate `
       -KeyExportPolicy Exportable `
       -Subject "CN=yourappname.yourtenant.onmicrosoft.com" `
       -KeyAlgorithm RSA `
       -KeyLength 2048 `
       -KeyUsage DigitalSignature `
       -NotAfter (Get-Date).AddMonths(12) `
       -CertStoreLocation "Cert:\CurrentUser\My"
   

2. Windows bilgisayarda Kullanıcı sertifikalarını yönet'i arayın ve seçin

3. Sertifikalar - Geçerli Kullanıcı'nın altında Kişisel>Sertifikalar>yourappname.yourtenant.onmicrosoft.com'ni seçin.

4. Sertifikayı seçin ve ardından Tüm Görevleri>Dışarı Aktar eylemini>seçin.

5. İleri>Evet, özel anahtarı>dışarı aktar İleri'yi seçin.

6. Dosya Biçimini Dışarı Aktar varsayılanlarını kabul edin ve İleri'yi seçin.

7. Parolayı Etkinleştir seçeneğini belirleyin, sertifika için bir parola girin ve İleri'yi seçin.

8. Sertifikanızı kaydedeceğiniz konumu belirtmek için Gözat'ı seçin ve istediğiniz bir dizine gidin.

9. Farklı Kaydet penceresinde bir Dosya adı girin ve Kaydet'i seçin.

10. İleri>Son seçeneğini belirleyin.

Azure AD B2C'nin .pfx dosya parolasını kabul etmesi için, parolanın AES256-SHA256 yerine Windows Sertifika Deposu Dışarı Aktarma yardımcı programındaki TripleDES-SHA1 seçeneğiyle şifrelenmesi gerekir.

macOS

macOS'ta, sertifika oluşturmak için Anahtarlık Erişimi'ndeki Sertifika Yardımcısı'nı kullanın.

1. Mac'te Anahtar Zinciri Erişimi'nde otomatik olarak imzalanan sertifikalar oluşturma yönergelerini izleyin.
2. Mac bilgisayarınızdaki Anahtarlık Erişimi uygulamasında, oluşturduğunuz sertifikayı seçin.
3. Dosya>Dışarı Aktarma Öğeleri'ne tıklayın.
4. Sertifikanızı kaydetmek için bir dosya adı seçin. Örneğin: self-signed-certificate.p12.
5. Dosya Biçimi için Kişisel Bilgi Değişimi (.p12) öğesini seçin.
6. Kaydet'i seçin.
7. Parola ve Doğrula kutularına bir parola girin.
8. Dosya uzantısını .pfx olarak değiştirin. Örneğin: self-signed-certificate.pfx.

İlke anahtarı oluşturma

Oluşturduğunuz sertifikayı Azure AD B2C kiracınızda depolamanız gerekir.

1. Azure Portal oturum açın.
2. Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden Azure AD B2C kiracınıza geçmek için üstteki menüden Ayarlar simgesini seçin.
3. Azure portalının sol üst köşesindeki Tüm hizmetler'i seçin ve ardından Azure AD B2C'yi arayıp seçin.
4. Genel Bakış sayfasında Kimlik Deneyimi Çerçevesi'ni seçin.
5. İlke Anahtarları'nı ve ardından Ekle'yi seçin.
6. Seçenekler için öğesini seçinUpload.
7. İlke için bir Ad girin. Örneğin, SAMLSigningCert. Ön ek B2C_1A_ , anahtarınızın adına otomatik olarak eklenir.
8. Oluşturduğunuz B2CSigningCert.pfx sertifikasına gidin ve sertifikayı seçin.
9. Sertifikanın Parolasını girin.
10. Oluştur’a tıklayın.

Talep sağlayıcısı ekleme

Kullanıcıların Salesforce hesabı kullanarak oturum açmasını istiyorsanız, hesabı Azure AD B2C'nin bir uç nokta üzerinden iletişim kurabileceği bir talep sağlayıcısı olarak tanımlamanız gerekir. Uç nokta, belirli bir kullanıcının kimliğini doğrulamak için Azure AD B2C tarafından kullanılan bir dizi talep sağlar.

Bir Salesforce hesabını ilkenizin uzantı dosyasındaki ClaimsProviders öğesine ekleyerek talep sağlayıcısı olarak tanımlayabilirsiniz. Daha fazla bilgi için bkz . SAML kimlik sağlayıcısı tanımlama.

1. TrustFrameworkExtensions.xml dosyasını açın.

2. ClaimsProviders öğesini bulun. Yoksa kök öğesinin altına ekleyin.

3. Aşağıdaki gibi yeni bir ClaimsProvider ekleyin:

   <ClaimsProvider>
     <Domain>salesforce.com</Domain>
     <DisplayName>Salesforce</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="Salesforce-SAML2">
         <DisplayName>Salesforce</DisplayName>
         <Description>Login with your Salesforce account</Description>
         <Protocol Name="SAML2"/>
         <Metadata>
           <Item Key="WantsEncryptedAssertions">false</Item>
           <Item Key="WantsSignedAssertions">false</Item>
           <Item Key="PartnerEntity">https://contoso-dev-ed.my.salesforce.com/.well-known/samlidp.xml</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SAMLSigningCert"/>
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="userId"/>
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name"/>
           <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name"/>
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email"/>
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="username"/>
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication"/>
           <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="salesforce.com" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-idp"/>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. PartnerEntity değerini daha önce kopyaladığınız Salesforce meta veri URL'si ile güncelleştirin.

5. her iki Depolama ReferenceId örneğinin değerini imzalama sertifikanızın anahtarı adına güncelleştirin. Örneğin, B2C_1A_SAMLSigningCert.

6. <ClaimsProviders> bölümünü bulun ve aşağıdaki XML parçacığını ekleyin. İlkeniz teknik profili zaten içeriyorsa SM-Saml-idp sonraki adıma geçin. Daha fazla bilgi için bkz . çoklu oturum açma oturumu yönetimi.

   <ClaimsProvider>
     <DisplayName>Session Management</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="SM-Saml-idp">
         <DisplayName>Session Management Provider</DisplayName>
         <Protocol Name="Proprietary" Handler="Web.TPEngine.SSO.SamlSSOSessionProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
         <Metadata>
           <Item Key="IncludeSessionIndex">false</Item>
           <Item Key="RegisterServiceProviders">false</Item>
         </Metadata>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

7. Dosyayı kaydedin.

Kullanıcı yolculuğu ekleme

Bu noktada, kimlik sağlayıcısı ayarlanmıştır, ancak henüz oturum açma sayfalarından herhangi birinde kullanılamaz. Kendi özel kullanıcı yolculuğunuz yoksa, mevcut şablon kullanıcı yolculuğunun bir kopyasını oluşturun, aksi takdirde sonraki adıma geçin.

1. Başlangıç paketinden TrustFrameworkBase.xml dosyasını açın.
2. içeren Id="SignUpOrSignIn"UserJourney öğesinin tüm içeriğini bulun ve kopyalayın.
3. TrustFrameworkExtensions.xml dosyasını açın ve UserJourneys öğesini bulun. Öğesi yoksa bir tane ekleyin.
4. UserJourneys öğesinin alt öğesi olarak kopyaladığınız UserJourney öğesinin tüm içeriğini yapıştırın.
5. Kullanıcı yolculuğunun kimliğini yeniden adlandırın. Örneğin, Id="CustomSignUpSignIn".

Kimlik sağlayıcısını kullanıcı yolculuğuna ekleme

Artık bir kullanıcı yolculuğunuz olduğuna göre, yeni kimlik sağlayıcısını kullanıcı yolculuğuna ekleyin. Önce bir oturum açma düğmesi eklersiniz, ardından düğmeyi bir eyleme bağlarsınız. Eylem, daha önce oluşturduğunuz teknik profildir.

1. veya içeren düzenleme adımı öğesini Type="CombinedSignInAndSignUp"Type="ClaimsProviderSelection" kullanıcı yolculuğunda bulun. Genellikle ilk düzenleme adımıdır. ClaimsProviderSelections öğesi, kullanıcının oturum açabileceği kimlik sağlayıcılarının listesini içerir. Öğelerin sırası, kullanıcıya sunulan oturum açma düğmelerinin sırasını denetler. ClaimsProviderSelection XML öğesi ekleyin. TargetClaimsExchangeId değerini kolay bir ad olarak ayarlayın.

2. Sonraki düzenleme adımında claimsexchange öğesi ekleyin. Kimliği hedef talep değişim kimliğinin değerine ayarlayın. TechnicalProfileReferenceId değerini daha önce oluşturduğunuz teknik profilin kimliğine güncelleştirin.

Aşağıdaki XML, kimlik sağlayıcısıyla bir kullanıcı yolculuğunun ilk iki düzenleme adımını gösterir:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="SalesforceExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="SalesforceExchange" TechnicalProfileReferenceId="Salesforce-SAML2" />
  </ClaimsExchanges>
</OrchestrationStep>

Bağlı olan taraf ilkesini yapılandırma

Bağlı olan taraf ilkesi, örneğin SignUpSignIn.xml, Azure AD B2C'nin yürüteceği kullanıcı yolculuğunu belirtir. Bağlı olan taraf içinde DefaultUserJourney öğesini bulun. ReferenceId değerini, kimlik sağlayıcısını eklediğiniz kullanıcı yolculuğu kimliğiyle eşleşecek şekilde güncelleştirin.

Aşağıdaki örnekte, kullanıcı yolculuğu için CustomSignUpSignIn ReferenceId değeri olarak CustomSignUpSignInayarlanmıştır:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Özel ilkeyi karşıya yükleme

1. Azure Portal oturum açın.
2. Portal araç çubuğunda Dizin + Abonelik simgesini ve ardından Azure AD B2C kiracınızı içeren dizini seçin.
3. Azure portalında Azure AD B2C'yi arayın ve seçin.
4. İlkeler'in altında Kimlik Deneyimi Çerçevesi'ne tıklayın.
5. Özel İlkeyi Karşıya Yükle'yi seçin ve değiştirdiğiniz iki ilke dosyasını şu sırayla karşıya yükleyin: uzantı ilkesi, örneğin TrustFrameworkExtensions.xml, ve gibi SignUpSignIn.xmlbağlı olan taraf ilkesi.

Özel ilkenizi test edin

1. Bağlı olan taraf ilkenizi seçin, örneğin B2C_1A_signup_signin.
2. Uygulama için daha önce kaydettiğiniz bir web uygulamasını seçin. Yanıt URL'si göstermelidirhttps://jwt.ms.
3. Şimdi çalıştır düğmesini seçin.
4. Kaydolma veya oturum açma sayfasında Salesforce hesabıyla oturum açmak için Salesforce'ı seçin.

Oturum açma işlemi başarılı olursa, tarayıcınız Azure AD B2C tarafından döndürülen belirtecin içeriğini görüntüleyen öğesine yönlendirilir https://jwt.ms.