Azure Active Directory B2C 사용자 지정 정책에서 SAML 토큰 발급자의 기술 프로필 정의
참고
Azure Active Directory B2C에서 사용자 지정 정책은 주로 복잡한 시나리오를 해결하기 위해 설계되었습니다. 대부분의 시나리오에서 기본 제공 사용자 흐름을 사용하는 것이 좋습니다. 아직 수행하지 않았다면 Active Directory B2C에서 사용자 지정 정책 시작하기에서 사용자 지정 정책 스타터 팩에 대해 알아봅니다.
Azure AD B2C(Azure Active Directory B2C)는 각 인증 흐름을 처리할 때 여러 형식의 보안 토큰을 내보냅니다. SAML 토큰 발급자의 기술 프로필은 다시 신뢰 당사자 애플리케이션(서비스 공급자)으로 반환되는 SAML 토큰을 내보냅니다. 일반적으로 이 기술 프로필은 사용자 경험의 마지막 오케스트레이션 단계입니다.
프로토콜
Protocol 요소의 Name 특성은 SAML2
로 설정해야 합니다.
OutputTokenFormat 요소를 SAML2
로 설정합니다.
다음 예제는 Saml2AssertionIssuer
의 기술 프로필을 보여 줍니다.
<TechnicalProfile Id="Saml2AssertionIssuer">
<DisplayName>Token Issuer</DisplayName>
<Protocol Name="SAML2"/>
<OutputTokenFormat>SAML2</OutputTokenFormat>
<Metadata>
<Item Key="IssuerUri">https://tenant-name.b2clogin.com/tenant-name.onmicrosoft.com/B2C_1A_signup_signin_SAML</Item>
<Item Key="TokenNotBeforeSkewInSeconds">600</Item>
</Metadata>
<CryptographicKeys>
<Key Id="MetadataSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
<Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
</CryptographicKeys>
<InputClaims/>
<OutputClaims/>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-issuer"/>
</TechnicalProfile>
입력, 출력 및 유지 클레임
InputClaims, OutputClaims 및 PersistClaims 요소가 비어 있거나 없습니다. InutputClaimsTransformations 및 OutputClaimsTransformations 요소도 없습니다.
메타데이터
attribute | 필수 | Description |
---|---|---|
IssuerUri | 예 | SAML 응답에 표시되는 발급자 이름입니다. 이 값은 신뢰 당사자 애플리케이션에 구성된 이름과 같아야 합니다. |
XmlSignatureAlgorithm | 예 | Azure AD B2C에서 SAML 어설션에 서명하는 데 사용하는 메서드입니다. 가능한 값은 Sha256 , Sha384 , Sha512 또는 Sha1 입니다. 양쪽의 서명 알고리즘을 같은 값으로 구성해야 합니다. 인증서가 지원하는 알고리즘만 사용하세요. SAML 응답을 구성하려면 SAML 애플리케이션을 등록하는 옵션을 참조하세요. |
TokenNotBeforeSkewInSeconds | 아니요 | 유효 기간의 시작을 표시하는 타임스탬프에 대한 오차(정수)를 지정합니다. 이 수가 클수록 신뢰 당사자에 대해 클레임이 발급된 시간과 관련하여 유효 기간이 시작되는 시간 이후의 시간을 반환합니다. 예를 들어 TokenNotBeforeSkewInSeconds가 60초로 설정된 경우 토큰이 13:05:10 UTC에 발급되면 토큰은 13:04:10 UTC부터 유효합니다. 기본값은 0입니다. 최댓값은 3600(1시간)입니다. |
TokenLifeTimeInSeconds | 아니요 | SAML 어설션의 수명을 지정합니다. 이 값은 위에서 참조된 NotBefore 값의 초 단위입니다. 기본값은 300 초(5분)입니다. |
암호화 키
CryptographicKeys 요소에는 다음 특성이 포함됩니다.
attribute | 필수 | Description |
---|---|---|
MetadataSigning | 예 | SAML 메타데이터에 서명을 하는 데 사용할 X509 인증서(RSA 키 집합)입니다. Azure AD B2C는 이 키를 사용하여 메타데이터에 서명을 합니다. |
SamlMessageSigning | 예 | SAML 메시지에 서명을 하는 데 사용할 X509 인증서(RSA 키 세트)를 지정합니다. Azure AD B2C는 이 키를 사용하여 신뢰 당사자에게 보낼 응답 <samlp:Response> 에 서명합니다. |
SamlAssertionSigning | 예 | SAML 토큰의 SAML 어설션 <saml:Assertion> 요소에 서명하는 데 사용할 X509 인증서(RSA 키 집합)를 지정합니다. 제공되지 않으면 SamlMessageSigning 암호화 키가 대신 사용됩니다. |
세션 관리
신뢰 당사자 애플리케이션 간에 Azure AD B2C SAML 세션을 구성하기 위해 UseTechnicalProfileForSessionManagement
요소의 특성은 SamlSSOSessionProvider SSO 세션을 참조합니다.
다음 단계
SAML 발급자 기술 프로필을 사용하는 예제는 다음 문서를 참조하세요.