在 Azure Active Directory B2C 自定義原則中定義 SAML 令牌簽發者的技術配置檔
注意
在 Azure Active Directory B2C 中, 自定義原則 的設計主要是為了解決複雜的案例。 在大部分情況下,我們建議您使用內 建的使用者流程。 如果您尚未這麼做,請了解開始使用 Active Directory B2C 中的自定義原則入門套件。
Azure Active Directory B2C (Azure AD B2C) 會在處理每個驗證流程時發出數種類型的安全性令牌。 SAML 令牌簽發者的技術配置檔會發出傳回給信賴憑證者應用程式(服務提供者)的 SAML 令牌。 此技術配置檔通常是使用者旅程圖的最後一個協調流程步驟。
通訊協定
Protocol 元素的 Name 屬性必須設定為 SAML2。 將 OutputTokenFormat 元素設定為 SAML2。
下列範例顯示 的技術設定檔 Saml2AssertionIssuer:
<TechnicalProfile Id="Saml2AssertionIssuer">
<DisplayName>Token Issuer</DisplayName>
<Protocol Name="SAML2"/>
<OutputTokenFormat>SAML2</OutputTokenFormat>
<Metadata>
<Item Key="IssuerUri">https://tenant-name.b2clogin.com/tenant-name.onmicrosoft.com/B2C_1A_signup_signin_SAML</Item>
<Item Key="TokenNotBeforeSkewInSeconds">600</Item>
</Metadata>
<CryptographicKeys>
<Key Id="MetadataSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
<Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
</CryptographicKeys>
<InputClaims/>
<OutputClaims/>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-issuer"/>
</TechnicalProfile>
輸入、輸出和保存宣告
InputClaims、OutputClaims 和 PersistClaims 元素是空的或不存在的。 InputClaimsTransformations 和 OutputClaimsTransformations 元素也不存在。
中繼資料
| 屬性 | 必要 | 描述 |
|---|---|---|
| IssuerUri | No | SAML 回應中顯示的簽發者名稱。 此值應該與信賴憑證者應用程式中設定的名稱相同。 |
| XmlSignatureAlgorithm | No | Azure AD B2C 用來簽署 SAML 判斷提示的方法。 可能的值: Sha256、 Sha384、 Sha512或 Sha1。 請確定您在兩端都使用相同的值來設定簽章演算法。 只使用憑證支持的演算法。 若要設定 SAML 回應,請參閱 註冊 SAML 應用程式的選項 |
| TokenNotBeforeSkewInSeconds | No | 針對標記有效期間開頭的時間戳,指定扭曲為整數。 這個數位越高,有效期間從向信賴憑證者發出宣告的時間開始的時間越晚。 例如,當 TokenNotBeforeSkewInSeconds 設定為 60 秒時,如果令牌是在 13:05:10 UTC 發出,則令牌的有效時間是從 13:04:10 UTC 開始。 預設值為 0。 最大值為 3600 (一小時)。 |
| TokenLifeTimeInSeconds | No | 指定 SAML 判斷提示的生命週期。 此值是上述 NotBefore 值所參考的秒數。預設值為300秒(5分鐘)。 |
密碼編譯金鑰
CryptographicKeys 元素包含下列屬性:
| 屬性 | 必要 | 描述 |
|---|---|---|
| MetadataSigning | Yes | 用來簽署 SAML 元數據的 X509 憑證(RSA 金鑰集)。 Azure AD B2C 會使用此金鑰來簽署元數據。 |
| SamlMessageSigning | Yes | 指定要用來簽署 SAML 訊息的 X509 憑證(RSA 金鑰集)。 Azure AD B2C 會使用此金鑰簽署傳送至信賴憑證者的回應 <samlp:Response> 。 |
| SamlAssertionSigning | No | 指定要用來簽署 SAML 令牌之 SAML 判斷 <saml:Assertion> 提示元素的 X509 憑證(RSA 金鑰集)。 如果未提供, SamlMessageSigning 則會改用密碼編譯密鑰。 |
工作階段管理
若要設定信賴憑證者應用程式之間的 Azure AD B2C SAML 會話,元素的 UseTechnicalProfileForSessionManagement 屬性,參考 SamlSSOSessionProvider SSO 會話。
下一步
如需使用 SAML 簽發者技術配置檔的範例,請參閱下列文章: