إعداد تسجيل الدخول باستخدام موفر SAML في Salesforce باستخدام بروتوكول SAML في Azure Active Directory B2C

هام

اعتبارا من 1 مايو 2025، لن يكون Azure AD B2C متوفرا للشراء للعملاء الجدد. تعرف على المزيد في الأسئلة المتداولة.

قبل البدء، استخدم محدد اختيار نوع نهج في أعلى هذه الصفحة لاختيار نوع النهج الذي تقوم بإعداده. يوفر Azure Active Directory B2C طريقتين لتحديد كيفية تفاعل المستخدمين مع تطبيقاتك: من خلال تدفقات محددة مسبقا للمستخدمين أو من خلال سياسات مخصصة قابلة للتكوين بشكل كامل. تختلف الخطوات المطلوبة في هذه المقالة لكل أسلوب.

تتوفر هذه الميزة فقط للنهج المخصصة. لخطوات الإعداد، حدد Custom policy في المحدد السابق.

إشعار

في Azure Active Directory B2C، تم تصميم النُهج المخصصة بشكل أساسي لمعالجة السيناريوهات المعقدة. بالنسبة إلى معظم السيناريوهات، نوصي باستخدام تدفقات المستخدم المضمنة. إذا لم تقم بذلك، تعرف على حزمة بادئ النهج المخصصة في البدء باستخدام النهج المخصصة في Active Directory B2C.

توضح لك هذه المقالة كيفية تمكين تسجيل الدخول للمستخدمين من مؤسسة Salesforce باستخدام نهج مخصصة في Azure Active Directory B2C (Azure AD B2C). يمكنك تمكين تسجيل الدخول عن طريق إضافة موفر هوية SAML إلى نهج مخصص.

المتطلبات الأساسية

• أكمل الخطوات الواردة في بدء استخدام النهج المخصصة في Active Directory B2C. يرشدك هذا البرنامج التعليمي إلى كيفية تحديث ملفات النهج المخصصة لاستخدام تكوين مستأجر Azure AD B2C.
• إذا لم تكن قد سجلت تطبيق ويب، فسجل واحدا باستخدام الخطوات الواردة في تسجيل تطبيق ويب.

• إذا لم تكن قد قمت بذلك بالفعل، فقم بالتسجيل للحصول على حساب مجاني في إصدار المطور. تستخدم هذه المقالة تجربة Salesforce Lightning.
• قم بإعداد نطاقي لمؤسسة Salesforce الخاصة بك.

إعداد Salesforce كموفر هوية

1. سجل الدخول إلى Salesforce.
2. في القائمة اليمنى، ضمن الإعدادات، قم بتوسيع الهوية، ثم حدد موفر الهوية.
3. حدد تمكين موفر الهوية.
4. ضمن تحديد الشهادة، حدد الشهادة التي تريد أن يستخدمها Salesforce للاتصال ب Azure AD B2C. يمكنك استخدام الشهادة الافتراضية.
5. انقر فوق Save (حفظ).

إنشاء تطبيق متصل في Salesforce

1. في صفحة موفر الهوية ، حدد موفري الخدمة الذين يتم إنشاؤهم الآن عبر التطبيقات المتصلة. انقر هنا.

2. ضمن المعلومات الأساسية، أدخل القيم المطلوبة لتطبيقك المتصل.

3. ضمن إعدادات تطبيق الويب، حدد المربع تمكين SAML .

4. في حقل معرف الكيان ، أدخل عنوان URL التالي. تأكد من استبدال القيمة باسم your-tenant مستأجر Azure AD B2C.

   https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase
   

   عند استخدام مجال مخصص، استخدم التنسيق التالي:

   https://your-domain-name/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase
   

5. في حقل عنوان URL ACS ، أدخل عنوان URL التالي. تأكد من استبدال القيمة باسم your-tenant مستأجر Azure AD B2C.

   https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase/samlp/sso/assertionconsumer
   

   عند استخدام مجال مخصص، استخدم التنسيق التالي:

   https://your-domain-name/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase/samlp/sso/assertionconsumer
   

6. قم بالتمرير إلى أسفل القائمة، ثم انقر فوق حفظ.

الحصول على عنوان URL للبيانات الوصفية

1. في صفحة نظرة عامة على التطبيق المتصل، انقر فوق إدارة.
2. انسخ قيمة نقطة نهاية اكتشاف بيانات التعريف، ثم احفظها. ستستخدمه لاحقا في هذه المقالة.

إعداد مستخدمي Salesforce للتوحد

1. في صفحة إدارة التطبيق المتصل، انقر فوق إدارة ملفات التعريف.
2. حدد ملفات التعريف (أو مجموعات المستخدمين) التي تريد توحيدها مع Azure AD B2C. بصفتك مسؤول نظام، حدد خانة الاختيار مسؤول النظام ، بحيث يمكنك التوحد باستخدام حساب Salesforce الخاص بك.

إنشاء شهادة موقَّعة ذاتيًا

إذا لم يكن لديك شهادة بالفعل، يمكنك استخدام شهادة موقعة ذاتيا. الشهادة الموقعة ذاتيا هي شهادة أمان لم يتم توقيعها من قبل مرجع مصدق (CA) ولا توفر ضمانات الأمان لشهادة موقعة من قبل المرجع المصدق.

نوافذ

في Windows، استخدم الأمر Cmdlet New-SelfSignedCertificate في PowerShell لإنشاء شهادة.

1. قم بتشغيل أمر PowerShell التالي لإنشاء شهادة موقعة ذاتيا. تعديل الوسيطة -Subject حسب الاقتضاء للتطبيق الخاص بك واسم مستأجر Azure AD B2C مثل contosowebapp.contoso.onmicrosoft.com. يمكنك أيضا ضبط -NotAfter التاريخ لتحديد انتهاء صلاحية مختلف للشهادة.

   New-SelfSignedCertificate `
       -KeyExportPolicy Exportable `
       -Subject "CN=yourappname.yourtenant.onmicrosoft.com" `
       -KeyAlgorithm RSA `
       -KeyLength 2048 `
       -KeyUsage DigitalSignature `
       -NotAfter (Get-Date).AddMonths(12) `
       -CertStoreLocation "Cert:\CurrentUser\My"
   

2. على كمبيوتر Windows، ابحث عن Manage user certificates وحددها

3. ضمن الشهادات - المستخدم الحالي، حددالشهادات>الشخصية>yourappname.yourtenant.onmicrosoft.com.

4. حدد الشهادة، ثم حدد إجراء>تصدير كافة المهام>.

5. حدد التالي>نعم، قم بتصدير المفتاح> الخاصالتالي.

6. اقبل الإعدادات الافتراضية لتصدير تنسيق الملف، ثم حدد التالي.

7. تمكين خيار كلمة المرور ، أدخل كلمة مرور للشهادة، ثم حدد التالي.

8. لتحديد موقع لحفظ الشهادة، حدد استعراض وانتقل إلى دليل من اختيارك.

9. في النافذة حفظ باسم ، أدخل اسم ملف، ثم حدد حفظ.

10. حدد التالي>وإنهاء.

لكي يقبل Microsoft Azure Active Directory B2C كلمة مرور ملف .pfx، يجب تشفير كلمة المرور باستخدام خيار TripleDES-SHA1 في الأداة المساعدة لتصدير متجر شهادات Windows، بدلا من AES256-SHA256.

على macOS، استخدم مساعد الشهادة في الوصول إلى سلسلة المفاتيح لإنشاء شهادة.

1. اتبع الإرشادات الخاصة بكيفية إنشاء شهادات موقعة ذاتيا في Keychain Access على جهاز Mac.
2. في تطبيق Keychain Access على جهاز Mac، حدد الشهادة التي قمت بإنشائها.
3. حدد File>Export Items.
4. حدد اسم ملف لحفظ الشهادة. على سبيل المثال: self-signed-certificate.p12.
5. بالنسبة إلى تنسيق الملف، حدد تبادل المعلومات الشخصية (.p12).
6. حدد حفظ.
7. أدخل كلمة مرور في المربعين كلمة المروروالتحقق .
8. استبدل ملحق الملف ب .pfx. على سبيل المثال: self-signed-certificate.pfx.

إنشاء مفتاح نهج

تحتاج إلى تخزين الشهادة التي قمت بإنشائها في مستأجر Azure AD B2C.

1. قم بتسجيل الدخول إلى بوابة Azure.
2. إذا كان لديك حق الوصول إلى عدة مستأجرين، فحدد أيقونة الإعدادات في القائمة العلوية للتبديل إلى مستأجر Azure AD B2C من قائمة الدلائل + الاشتراكات .
3. اختر جميع الخدمات في الزاوية العلوية اليمنى من مدخل Microsoft Azure، ثم ابحث عن Azure AD B2C وحدده.
4. في صفحة Overview، حدد Identity Experience Framework.
5. حدد Policy Keys ثم حدد Add.
6. بالنسبة إلى خيارات، اختر Upload.
7. أدخل اسما للنهج. على سبيل المثال، SAMLSigningCert. تتم إضافة البادئة B2C_1A_ تلقائيا إلى اسم مفتاحك.
8. استعرض وصولا إلى شهادة B2CSigningCert.pfx التي قمت بإنشائها وحددها.
9. أدخل كلمة المرور للشهادة.
10. انقر فوق إنشاء.

إضافة موفر مطالبات

إذا كنت تريد أن يقوم المستخدمون بتسجيل الدخول باستخدام حساب Salesforce، فأنت بحاجة إلى تعريف الحساب كموفر مطالبات يمكن ل Azure AD B2C الاتصال به من خلال نقطة نهاية. توفر نقطة النهاية مجموعة من المطالبات التي يستخدمها Azure AD B2C للتحقق من مصادقة مستخدم معين.

يمكنك تعريف حساب Salesforce كموفر مطالبات عن طريق إضافته إلى عنصر ClaimsProviders في ملف ملحق النهج الخاص بك. لمزيد من المعلومات، راجع تعريف موفر هوية SAML.

1. افتح TrustFrameworkExtensions.xml.

2. ابحث عن عنصر ClaimsProviders . إذا لم يكن موجودا، أضفه ضمن العنصر الجذر.

3. إضافة ClaimsProvider جديد كما يلي:

   <ClaimsProvider>
     <Domain>salesforce.com</Domain>
     <DisplayName>Salesforce</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="Salesforce-SAML2">
         <DisplayName>Salesforce</DisplayName>
         <Description>Login with your Salesforce account</Description>
         <Protocol Name="SAML2"/>
         <Metadata>
           <Item Key="WantsEncryptedAssertions">false</Item>
           <Item Key="WantsSignedAssertions">false</Item>
           <Item Key="PartnerEntity">https://contoso-dev-ed.my.salesforce.com/.well-known/samlidp.xml</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SAMLSigningCert"/>
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="userId"/>
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name"/>
           <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name"/>
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email"/>
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="username"/>
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication"/>
           <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="salesforce.com" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-idp"/>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. قم بتحديث قيمة PartnerEntity باستخدام عنوان URL لبيانات تعريف Salesforce التي نسختها سابقا.

5. قم بتحديث قيمة كلا المثيلين من StorageReferenceId إلى اسم مفتاح شهادة التوقيع الخاصة بك. على سبيل المثال ، B2C_1A_SAMLSigningCert.

6. <ClaimsProviders> حدد موقع المقطع وأضف مقتطف XML التالي. إذا كان نهجك يحتوي بالفعل على SM-Saml-idp ملف التعريف التقني، فانتقل إلى الخطوة التالية. لمزيد من المعلومات، راجع إدارة جلسة تسجيل الدخول الأحادي.

   <ClaimsProvider>
     <DisplayName>Session Management</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="SM-Saml-idp">
         <DisplayName>Session Management Provider</DisplayName>
         <Protocol Name="Proprietary" Handler="Web.TPEngine.SSO.SamlSSOSessionProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
         <Metadata>
           <Item Key="IncludeSessionIndex">false</Item>
           <Item Key="RegisterServiceProviders">false</Item>
         </Metadata>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

7. حفظ الملف.

إضافة رحلة مستخدم

في هذه المرحلة، تم إعداد موفر الهوية، ولكنه غير متوفر بعد في أي من صفحات تسجيل الدخول. إذا لم يكن لديك رحلة مستخدم مخصصة خاصة بك، فبادر بإنشاء نسخة مكررة من رحلة مستخدم قالب موجودة، وإلا تابع إلى الخطوة التالية.

1. افتح ملف TrustFrameworkBase.xml من حزمة البداية.
2. ابحث عن المحتويات الكاملة لعنصر UserJourney الذي يتضمن Id="SignUpOrSignIn"وانسخها.
3. افتح TrustFrameworkExtensions.xml وابحث عن عنصر UserJourneys . إذا لم يكن العنصر موجودا، أضف واحدا.
4. الصق المحتوى الكامل لعنصر UserJourney الذي نسخته كعنصر تابع لعنصر UserJourneys .
5. أعد تسمية معرف رحلة المستخدم. على سبيل المثال، Id="CustomSignUpSignIn"

إضافة موفر الهوية إلى رحلة مستخدم

الآن بعد أن أصبح لديك رحلة مستخدم، أضف موفر الهوية الجديد إلى رحلة المستخدم. يمكنك أولا إضافة زر تسجيل الدخول، ثم ربط الزر بإجراء. الإجراء هو ملف التعريف الفني الذي أنشأته سابقا.

1. ابحث عن عنصر خطوة التزامن الذي يتضمن Type="CombinedSignInAndSignUp"، أو Type="ClaimsProviderSelection" في رحلة المستخدم. عادة ما تكون خطوة التنسيق الأولى. يحتوي عنصر ClaimsProviderSelections على قائمة بموفري الهوية التي يمكن للمستخدم تسجيل الدخول باستخدامها. يتحكم ترتيب العناصر في ترتيب أزرار تسجيل الدخول المقدمة للمستخدم. إضافة عنصر ClaimsProviderSelection XML. تعيين قيمة TargetClaimsExchangeId إلى اسم مألوف.

2. في خطوة التنسيق التالية، أضف عنصر ClaimsExchange . تعيين المعرف إلى قيمة معرف تبادل المطالبات الهدف. قم بتحديث قيمة TechnicalProfileReferenceId إلى معرف ملف التعريف الفني الذي أنشأته سابقا.

يوضح XML التالي أول خطوتين للتنسيق لرحلة المستخدم مع موفر الهوية:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="SalesforceExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="SalesforceExchange" TechnicalProfileReferenceId="Salesforce-SAML2" />
  </ClaimsExchanges>
</OrchestrationStep>

تكوين نهج جهة الاعتماد

يحدد نهج الطرف المعتمد، على سبيل المثال SignUpSignIn.xml، رحلة المستخدم التي سينفذها Azure AD B2C. ابحث عن عنصر DefaultUserJourney داخل جهة الاعتماد. قم بتحديث ReferenceId لمطابقة معرف رحلة المستخدم، الذي أضفت فيه موفر الهوية.

في المثال التالي، بالنسبة لرحلة CustomSignUpSignIn المستخدم، يتم تعيين ReferenceId إلى CustomSignUpSignIn:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

تحميل النهج المخصص

1. قم بتسجيل الدخول إلى بوابة Azure.
2. حدد أيقونة الدليل + الاشتراك في شريط أدوات المدخل، ثم حدد الدليل الذي يحتوي على مستأجر Azure AD B2C.
3. في مدخل Microsoft Azure، ابحث عن Azure AD B2C وحددها.
4. ضمن Policies، حدد Identity Experience Framework.
5. حدد Upload Custom Policy، ثم قم بتحميل ملفي النهج اللذين قمت بتغييرهما، بالترتيب التالي: نهج الملحق، على سبيل المثال TrustFrameworkExtensions.xml، ثم نهج الطرف المعتمد، مثل SignUpSignIn.xml.

اختبار النهج المخصص

1. حدد نهج جهة الاعتماد، على سبيل المثال B2C_1A_signup_signin.
2. بالنسبة للتطبيق، حدد تطبيق ويب قمت بتسجيله مسبقا. يجب أن يظهر https://jwt.ms .
3. حدد الزر تشغيل الآن .
4. من صفحة الاشتراك أو تسجيل الدخول، حدد Salesforce لتسجيل الدخول باستخدام حساب Salesforce.

إذا نجحت عملية تسجيل الدخول، تتم إعادة توجيه المستعرض إلى https://jwt.ms، والذي يعرض محتويات الرمز المميز الذي تم إرجاعه بواسطة Azure AD B2C.