Een technisch profiel definiëren voor een SAML-tokenverlener in een aangepast Azure Active Directory B2C-beleid
Notitie
In Azure Active Directory B2C is een aangepast beleid voornamelijk bedoeld om complexe scenario's aan te pakken. Voor de meeste scenario's raden we u aan de ingebouwde gebruikersstromen te gebruiken. Als u dit nog niet hebt gedaan, vindt u meer informatie over aangepast beleid in het starterspakket in Aan de slag met aangepaste beleidsregels in Active Directory B2C.
Azure Active Directory B2C (Azure AD B2C) verzendt verschillende typen beveiligingstokens terwijl elke verificatiestroom wordt verwerkt. Een technisch profiel voor een verlener van een SAML-token verzendt een SAML-token dat wordt geretourneerd naar de relying party-toepassing (serviceprovider). Meestal is dit technische profiel de laatste indelingsstap in het gebruikerstraject.
Protocol
Het kenmerk Naam van het element Protocol moet worden ingesteld op SAML2
. Stel het element OutputTokenFormat in op SAML2
.
In het volgende voorbeeld ziet u een technisch profiel voor Saml2AssertionIssuer
:
<TechnicalProfile Id="Saml2AssertionIssuer">
<DisplayName>Token Issuer</DisplayName>
<Protocol Name="SAML2"/>
<OutputTokenFormat>SAML2</OutputTokenFormat>
<Metadata>
<Item Key="IssuerUri">https://tenant-name.b2clogin.com/tenant-name.onmicrosoft.com/B2C_1A_signup_signin_SAML</Item>
<Item Key="TokenNotBeforeSkewInSeconds">600</Item>
</Metadata>
<CryptographicKeys>
<Key Id="MetadataSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
<Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
</CryptographicKeys>
<InputClaims/>
<OutputClaims/>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-issuer"/>
</TechnicalProfile>
Invoer-, uitvoer- en persistente claims
De elementen InputClaims, OutputClaims en PersistClaims zijn leeg of ontbreken. De elementen InutputClaimsTransformations en OutputClaimsTransformations zijn ook afwezig.
Metagegevens
Kenmerk | Vereist | Beschrijving |
---|---|---|
IssuerUri | No | De naam van de verlener die wordt weergegeven in het SAML-antwoord. De waarde moet dezelfde naam hebben als die is geconfigureerd in de relying party-toepassing. |
XmlSignatureAlgorithm | No | De methode die Azure AD B2C gebruikt om de SAML-assertie te ondertekenen. Mogelijke waarden: Sha256 , Sha384 , Sha512 of Sha1 . Zorg dat u het handtekeningalgoritmen aan beide zijden met dezelfde waarde configureert. Gebruik slechts het algoritme dat door uw certificaat wordt ondersteund. Zie Opties voor het registreren van een SAML-toepassing om het SAML-antwoord te configureren |
TokenNotBeforeSkewInSeconds | No | Hiermee geeft u de scheefheid op, als een geheel getal, voor het tijdstempel dat het begin van de geldigheidsperiode aangeeft. Hoe hoger dit aantal is, hoe verder terug in de tijd de geldigheidsperiode begint met betrekking tot het tijdstip waarop de claims worden uitgegeven voor de relying party. Als tokenNotBeforeSkewInSeconds bijvoorbeeld is ingesteld op 60 seconden en het token wordt uitgegeven om 13:05:10 UTC, is het token geldig vanaf 13:04:10 UTC. De standaardwaarde is 0. De maximumwaarde is 3600 (één uur). |
TokenLifeTimeInSeconds | No | Hiermee geeft u de levensduur van de SAML-assertie op. Deze waarde is in seconden van de NotBefore-waarde waarnaar hierboven wordt verwezen. De standaardwaarde is 300 seconden (5 min). |
Cryptografische sleutels
Het element CryptographicKeys bevat deze volgende kenmerken:
Kenmerk | Vereist | Beschrijving |
---|---|---|
MetadataSigning | Yes | Het X509-certificaat (de RSA-sleutelset) dat moet worden gebruikt om SAML-metagegevens te ondertekenen. Azure AD B2C gebruikt die sleutel om de metagegevens te ondertekenen. |
SamlMessageSigning | Yes | Geef het X509-certificaat (RSA-sleutelset) op dat moet worden gebruikt om SAML-berichten te ondertekenen. Azure AD B2C gebruikt deze sleutel om het antwoord <samlp:Response> te ondertekenen dat naar de relying party wordt verzonden. |
SamlAssertionSigning | No | Geef het X509-certificaat (RSA-sleutelset) op dat moet worden gebruikt om het SAML-assertie-element <saml:Assertion> van het SAML-token te ondertekenen. Als deze niet wordt opgegeven, wordt in plaats daarvan de SamlMessageSigning cryptografische sleutel gebruikt. |
Sessiebeheer
Voor het configureren van de Azure AD B2C SAML-sessies tussen een relying party-toepassing, het kenmerk van het UseTechnicalProfileForSessionManagement
element, verwijzing naar samlSSOSessionProvider SSO-sessie.
Volgende stappen
Zie het volgende artikel voor een voorbeeld van het gebruik van een technisch profiel voor saml-verleners: