Definiera en teknisk profil för en SAML-token utfärdare i en anpassad Azure Active Directory B2C-princip
Kommentar
I Azure Active Directory B2C är anpassade principer främst utformade för att hantera komplexa scenarier. I de flesta scenarier rekommenderar vi att du använder inbyggda användarflöden. Om du inte har gjort det kan du läsa mer om startpaketet för anpassad princip i Kom igång med anpassade principer i Active Directory B2C.
Azure Active Directory B2C (Azure AD B2C) genererar flera typer av säkerhetstoken när varje autentiseringsflöde bearbetas. En teknisk profil för en SAML-tokenutfärdare genererar en SAML-token som returneras tillbaka till det förlitande partprogrammet (tjänstleverantören). Vanligtvis är den här tekniska profilen det sista orkestreringssteget i användarresan.
Protokoll
Attributet Namn för protokollelementet måste anges till SAML2. Ange elementet OutputTokenFormat till SAML2.
I följande exempel visas en teknisk profil för Saml2AssertionIssuer:
<TechnicalProfile Id="Saml2AssertionIssuer">
<DisplayName>Token Issuer</DisplayName>
<Protocol Name="SAML2"/>
<OutputTokenFormat>SAML2</OutputTokenFormat>
<Metadata>
<Item Key="IssuerUri">https://tenant-name.b2clogin.com/tenant-name.onmicrosoft.com/B2C_1A_signup_signin_SAML</Item>
<Item Key="TokenNotBeforeSkewInSeconds">600</Item>
</Metadata>
<CryptographicKeys>
<Key Id="MetadataSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
<Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
</CryptographicKeys>
<InputClaims/>
<OutputClaims/>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-issuer"/>
</TechnicalProfile>
Indata, utdata och beständiga anspråk
Elementen InputClaims, OutputClaims och PersistClaims är tomma eller frånvarande. Elementen InputClaimsTransformations och OutputClaimsTransformations saknas också.
Metadata
| Attribut | Obligatoriskt | Beskrivning |
|---|---|---|
| IssuerUri | Nej | Utfärdarnamnet som visas i SAML-svaret. Värdet ska vara samma namn som konfigurerats i det förlitande partprogrammet. |
| XmlSignatureAlgorithm | Nej | Den metod som Azure AD B2C använder för att signera SAML-försäkran. Möjliga värden: Sha256, Sha384, Sha512eller Sha1. Se till att du konfigurerar signaturalgoritmen på båda sidor med samma värde. Använd endast den algoritm som certifikatet stöder. Information om hur du konfigurerar SAML-svaret finns i Alternativ för att registrera ett SAML-program |
| TokenNotBeforeSkewInSeconds | Nej | Anger skevheten, som ett heltal, för tidsstämpeln som markerar början av giltighetsperioden. Ju högre detta tal är, desto längre tillbaka i tiden börjar giltighetsperioden med avseende på den tid då anspråken utfärdas för den förlitande parten. När tokenNotBeforeSkewInSeconds till exempel är inställd på 60 sekunder, om token utfärdas kl. 13:05:10 UTC, är token giltig från 13:04:10 UTC. Standardvärdet är 0. Det maximala värdet är 3600 (en timme). |
| TokenLifeTimeInSeconds | Nej | Anger livslängden för SAML-försäkran. Det här värdet är i sekunder från notBefore-värdet som refereras ovan. Standardvärdet är 300 sekunder (5 min). |
Krypteringsnycklar
CryptographicKeys-elementet innehåller följande attribut:
| Attribut | Obligatoriskt | Beskrivning |
|---|---|---|
| MetadataSignering | Ja | X509-certifikatet (RSA-nyckeluppsättningen) som ska användas för att signera SAML-metadata. Azure AD B2C använder den här nyckeln för att signera metadata. |
| SamlMessageSigning | Ja | Ange X509-certifikatet (RSA-nyckeluppsättningen) som ska användas för att signera SAML-meddelanden. Azure AD B2C använder den här nyckeln för att signera svaret <samlp:Response> som skickas till den förlitande parten. |
| SamlAssertionSigning | Nej | Ange X509-certifikatet (RSA-nyckeluppsättningen) som ska användas för att signera SAML-kontrollelementet <saml:Assertion> i SAML-token. Om den inte anges används den SamlMessageSigning kryptografiska nyckeln i stället. |
Sessionshantering
För att konfigurera Azure AD B2C SAML-sessioner mellan ett förlitande partprogram refererar attributet för elementet UseTechnicalProfileForSessionManagement till SamlSSOSessionProvider SSO-session.
Nästa steg
I följande artikel finns exempel på hur du använder en teknisk PROFIL för SAML-utfärdare: