Een technisch profiel definiëren voor een SAML-tokenverlener in een aangepast Azure Active Directory B2C-beleid
Notitie
In Azure Active Directory B2C is aangepast beleid voornamelijk bedoeld om met complexe scenario's om te gaan. Voor de meeste scenario's wordt aangeraden ingebouwde gebruikersstromen te gebruiken. Als u dit nog niet hebt gedaan, vindt u meer informatie over aangepast beleid in het starterspakket in Aan de slag met aangepaste beleidsregels in Active Directory B2C.
Azure Active Directory B2C (Azure AD B2C) verzendt verschillende typen beveiligingstokens terwijl elke verificatiestroom wordt verwerkt. Een technisch profiel voor een SAML-tokenverlener verzendt een SAML-token dat wordt geretourneerd naar de relying party-toepassing (serviceprovider). Dit technische profiel is meestal de laatste indelingsstap in het gebruikerstraject.
Protocol
Het kenmerk Naam van het element Protocol moet worden ingesteld op SAML2. Stel het element OutputTokenFormat in op SAML2.
In het volgende voorbeeld ziet u een technisch profiel voor Saml2AssertionIssuer:
<TechnicalProfile Id="Saml2AssertionIssuer">
<DisplayName>Token Issuer</DisplayName>
<Protocol Name="SAML2"/>
<OutputTokenFormat>SAML2</OutputTokenFormat>
<Metadata>
<Item Key="IssuerUri">https://tenant-name.b2clogin.com/tenant-name.onmicrosoft.com/B2C_1A_signup_signin_SAML</Item>
<Item Key="TokenNotBeforeSkewInSeconds">600</Item>
</Metadata>
<CryptographicKeys>
<Key Id="MetadataSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
<Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
</CryptographicKeys>
<InputClaims/>
<OutputClaims/>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-issuer"/>
</TechnicalProfile>
Invoer-, uitvoer- en persistente claims
De elementen InputClaims, OutputClaims en PersistClaims zijn leeg of afwezig. De elementen InputClaimsTransformations en OutputClaimsTransformations zijn ook afwezig.
Metagegevens
| Kenmerk | Vereist | Beschrijving |
|---|---|---|
| IssuerUri | Nee | De naam van de verlener die wordt weergegeven in het SAML-antwoord. De waarde moet dezelfde naam hebben als die is geconfigureerd in de relying party-toepassing. |
| XmlSignatureAlgorithm | Nee | De methode die Azure AD B2C gebruikt om de SAML-assertie te ondertekenen. Mogelijke waarden: Sha256, Sha384, , Sha512of Sha1. Zorg dat u het handtekeningalgoritmen aan beide zijden met dezelfde waarde configureert. Gebruik slechts het algoritme dat door uw certificaat wordt ondersteund. Zie Opties voor het registreren van een SAML-toepassing om het SAML-antwoord te configureren |
| TokenNotBeforeSkewInSeconds | Nee | Hiermee geeft u de scheefheid, als geheel getal, op voor de tijdstempel die het begin van de geldigheidsperiode markeert. Hoe hoger dit getal is, hoe verder terug in de tijd de geldigheidsperiode begint met betrekking tot de tijd dat de claims worden uitgegeven voor de relying party. Als de TokenNotBeforeSkewInSeconds bijvoorbeeld is ingesteld op 60 seconden, is het token van 13:05:10 UTC geldig vanaf 13:04:10 UTC. De standaardwaarde is 0. De maximumwaarde is 3600 (één uur). |
| TokenLifeTimeInSeconds | Nee | Hiermee geeft u het leven van de SAML-assertie. Deze waarde ligt in seconden van de hierboven genoemde NotBefore-waarde. De standaardwaarde is 300 seconden (5 min). |
Cryptografische sleutels
Het element CryptographicKeys bevat deze volgende kenmerken:
| Kenmerk | Vereist | Beschrijving |
|---|---|---|
| MetadataSigning | Ja | Het X509-certificaat (de RSA-sleutelset) dat moet worden gebruikt om SAML-metagegevens te ondertekenen. Azure AD B2C gebruikt die sleutel om de metagegevens te ondertekenen. |
| SamlMessageSigning | Ja | Geef het X509-certificaat (RSA-sleutelset) op dat moet worden gebruikt om SAML-berichten te ondertekenen. Azure AD B2C gebruikt deze sleutel om het antwoord <samlp:Response> te ondertekenen dat naar de relying party wordt verzonden. |
| SamlAssertionSigning | Nee | Geef het X509-certificaat (RSA-sleutelset) op dat moet worden gebruikt om het SAML-assertie-element <saml:Assertion> van het SAML-token te ondertekenen. Als deze niet is opgegeven, wordt in plaats daarvan de SamlMessageSigning cryptografische sleutel gebruikt. |
Sessiebeheer
Als u de Azure AD B2C SAML-sessies tussen een relying party-toepassing, het kenmerk van het UseTechnicalProfileForSessionManagement element, wilt configureren, verwijst u naar de SSO-sessie van SamlSSOSessionProvider .
Volgende stappen
Zie het volgende artikel voor het gebruik van een technisch SAML-verlenerprofiel: