Definování technického profilu vystavitele tokenu SAML ve vlastních zásadách Azure Active Directory B2C
Poznámka:
V Azure Active Directory B2C jsou vlastní zásady navržené především pro řešení složitých scénářů. Ve většině scénářů doporučujeme používat integrované toky uživatelů. Pokud jste to neudělali, přečtěte si informace o úvodním balíčku vlastních zásad v tématu Začínáme s vlastními zásadami ve službě Active Directory B2C.
Azure Active Directory B2C (Azure AD B2C) generuje několik typů tokenů zabezpečení, protože zpracovává každý tok ověřování. Technický profil vystavitele tokenu SAML vygeneruje token SAML, který se vrátí zpět do aplikace předávající strany (poskytovatel služeb). Tento technický profil je obvykle posledním krokem orchestrace na cestě uživatele.
Protokol
Atribut Name elementu Protocol musí být nastaven na SAML2. Nastavte OutputTokenFormat element na SAML2.
Následující příklad ukazuje technický profil pro Saml2AssertionIssuer:
<TechnicalProfile Id="Saml2AssertionIssuer">
<DisplayName>Token Issuer</DisplayName>
<Protocol Name="SAML2"/>
<OutputTokenFormat>SAML2</OutputTokenFormat>
<Metadata>
<Item Key="IssuerUri">https://tenant-name.b2clogin.com/tenant-name.onmicrosoft.com/B2C_1A_signup_signin_SAML</Item>
<Item Key="TokenNotBeforeSkewInSeconds">600</Item>
</Metadata>
<CryptographicKeys>
<Key Id="MetadataSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
<Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
</CryptographicKeys>
<InputClaims/>
<OutputClaims/>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-issuer"/>
</TechnicalProfile>
Vstupní, výstupní a trvalé deklarace identity
Elementy InputClaims, OutputClaims a PersistClaims jsou prázdné nebo chybí. Elementy InputClaimsTransformations a OutputClaimsTransformations také chybí.
Metadata
| Atribut | Požadováno | Popis |
|---|---|---|
| IssuerUri | No | Název vystavitele, který se zobrazí v odpovědi SAML. Hodnota by měla být stejná jako nakonfigurovaná v aplikaci předávající strany. |
| XmlSignatureAlgorithm | No | Metoda, kterou Azure AD B2C používá k podepsání kontrolního výrazu SAML. Možné hodnoty: Sha256, Sha384, Sha512nebo Sha1. Ujistěte se, že jste na obou stranách nakonfigurovali algoritmus podpisu se stejnou hodnotou. Použijte pouze algoritmus, který váš certifikát podporuje. Informace o konfiguraci odpovědi SAML najdete v tématu Možnosti registrace aplikace SAML. |
| TokenNotBeforeSkewInSeconds | No | Určuje nerovnoměrnou distribuci jako celé číslo pro časové razítko, které označuje začátek doby platnosti. Čím vyšší je toto číslo, tím je čím dál v čase, kdy doba platnosti začíná s ohledem na dobu, po kterou jsou deklarace identity vystaveny předávající straně. Pokud je například token TokenNotBeforeSkewInSeconds nastaven na 60 sekund, pokud je token vystaven v 13:05:10 UTC, token je platný od 13:04:10 UTC. Výchozí hodnota je 0. Maximální hodnota je 3600 (jedna hodina). |
| TokenLifeTimeInSeconds | No | Určuje životnost kontrolního výrazu SAML. Tato hodnota je v sekundách od hodnoty NotBefore, na kterou odkazuje výše. Výchozí hodnota je 300 sekund (5 min). |
Kryptografické klíče
Element CryptographicKeys obsahuje následující atributy:
| Atribut | Požadováno | Popis |
|---|---|---|
| Přiřazení metadat | Ano | Certifikát X509 (sada klíčů RSA), který se použije k podepisování metadat SAML. Azure AD B2C používá tento klíč k podepsání metadat. |
| SamlMessageSigning | Ano | Zadejte certifikát X509 (sada klíčů RSA), který se má použít k podepisování zpráv SAML. Azure AD B2C používá tento klíč k podepisování odpovědi <samlp:Response> odesílané předávající straně. |
| SamlAssertionSigning | No | Zadejte certifikát X509 (sada klíčů RSA), který se má použít k podepsání elementu kontrolního <saml:Assertion> výrazu SAML tokenu SAML. Pokud není zadaný, SamlMessageSigning použije se kryptografický klíč. |
Správa relací
Pokud chcete nakonfigurovat relace SAML služby Azure AD B2C mezi aplikací předávající strany, atribut elementu UseTechnicalProfileForSessionManagement , odkaz na relaci jednotného přihlašování SamlSSOSessionProvider .
Další kroky
Příklad použití technického profilu vystavitele SAML najdete v následujícím článku: