إعداد تسجيل الدخول باستخدام موفر SamL Salesforce باستخدام بروتوكول SAML في Azure Active Directory B2C

قبل أن تبدأ استخدم اختر نوع النهجالمحدد لاختيار نوع النهج التي تقوم بإعدادها. يوفر Azure Active Directory B2C طريقتين لتحديد كيفية تفاعل المستخدمين مع تطبيقاتك: من خلال تدفقات محددة مسبقا للمستخدمين أو من خلال سياسات مخصصة قابلة للتكوين بشكل كامل. تختلف الخطوات المطلوبة في هذه المقالة لكل أسلوب.

هذه الميزة متاحة فقط للسياسات المخصصة. لخطوات الإعداد، حدد نهج مخصص في المحدد السابق.

إشعار

في Azure Active Directory B2C، تم تصميم النُهج المخصصة بشكل أساسي لمعالجة السيناريوهات المعقدة. بالنسبة إلى معظم السيناريوهات، نوصي باستخدام تدفقات المستخدم المضمنة. إذا لم تقم بذلك، تعرف على حزمة بادئ النهج المخصصة في البدء باستخدام النهج المخصصة في Active Directory B2C.

توضح هذه المقالة كيفية تمكين تسجيل الدخول للمستخدمين من مؤسسة Salesforce باستخدام نهج مخصصة في Azure Active Directory B2C (Azure AD B2C). تمكين تسجيل الدخول عن طريق إضافة موفر هوية SAML إلى نهج مخصص.

المتطلبات الأساسية

• أكمل الخطوات في ابدأ العمل مع النهج المخصص في Active Directory B2C.
• إذا كنت لم تقم بذلك بالفعل، عليك تسجيل تطبيق ويب.

• إذا لم تكن قد فعلت ذلك بالفعل، قم بالتسجيل في حساب إصدار المطور المجاني. تستخدم هذه المقالة تجربة Salesforce Lightning.
• إعداد My Domain لمؤسسة Salesforce.

إعداد Salesforce كموفر هوية

1. تسجيل الدخول إلى Salesforce.
2. في القائمة اليمنى، ضمن الإعدادات، قم بتوسيع الهوية،ثم حدد موفر الهوية.
3. حدد تمكين موفر الهوية.
4. ضمن تحديد الشهادة، حدد الشهادة التي تريد استخدام Salesforce للاتصال بـ Azure AD B2C. يمكنك استخدام الشهادة الافتراضية.
5. انقر فوق حفظ.

إنشاء تطبيق متصل في Salesforce

1. في صفحة موفر الهوية، حدد يتم الآن إنشاء موفري الخدمة عبر التطبيقات المتصلة.

2. ضمن المعلومات الأساسية، أدخل القيم المطلوبة للتطبيق المتصل الخاص بك.

3. ضمن تطبيق ويب الإعدادات، حدد مربع تمكين SAML.

4. في الحقل معرف الكيان، أدخل عنوان URL التالي. تأكد من استبدال القيمة your-tenant باسم مستأجر Azure AD B2C.

   https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase
   

   عند استخدام مجال مخصص، استخدم التنسيق التالي:

   https://your-domain-name/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase
   

5. في الحقل معرف الكيان، أدخل عنوان URL التالي. تأكد من استبدال القيمة your-tenant باسم مستأجر Azure AD B2C.

   https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase/samlp/sso/assertionconsumer
   

   عند استخدام مجال مخصص، استخدم التنسيق التالي:

   https://your-domain-name/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase/samlp/sso/assertionconsumer
   

6. مرر لأسفل القائمة، ثم انقر حفظ.

الحصول على عنوان URL للبيانات التعريفية

1. في صفحة النظرة العامة للتطبيق المتصل، انقر على إدارة.
2. نسخ القيمة لنقطة نهاية اكتشاف بيانات التعريف، ثم حفظها. ستستخدمه لاحقًا في هذه المقالة.

إعداد مستخدمي Salesforce للاتحاد

1. في صفحة إدارةالخاصة بتطبيقك المتصل، انقر على إدارة الملفات.
2. حدد ملفات التعريف (أو مجموعات المستخدمين) التي تريد التوصل إلى اتحاد مع Azure AD B2C. بصفتك مسؤول نظام، حدد خانة الاختيار مسؤول النظام، بحيث يمكنك التكفير باستخدام حساب Salesforce الخاص بك.

إنشاء شهادة موقَّعة ذاتيًا

إذا لم يكن لديك بالفعل شهادة، فيمكنك استخدام شهادة موقعة ذاتياً. الشهادة الموقعة ذاتياً هي شهادة أمان غير موقعة من قبل هيئة الشهادات (CA) ولا توفر ضمانات الأمان لشهادة موقعة من قبل هيئة شهادات.

Windows

في نظام التشغيل Windows، استخدم الأمر New-SelfSignedCertificate في PowerShell لإنشاء شهادة.

1. قم بتشغيل أمر PowerShell التالي لإنشاء شهادة موقعة ذاتياً. قم بتعديل الوسيطة -Subject بالشكل المناسب للتطبيق الخاص بك واسم مستأجر Azure AD B2C مثل contosowebapp.contoso.onmicrosoft.com. يمكنك أيضاً ضبط تاريخ -NotAfter لتحديد تاريخ انتهاء صلاحية مختلف للشهادة.

   New-SelfSignedCertificate `
       -KeyExportPolicy Exportable `
       -Subject "CN=yourappname.yourtenant.onmicrosoft.com" `
       -KeyAlgorithm RSA `
       -KeyLength 2048 `
       -KeyUsage DigitalSignature `
       -NotAfter (Get-Date).AddMonths(12) `
       -CertStoreLocation "Cert:\CurrentUser\My"
   

2. على جهاز الكمبيوتر الذي يعمل بنظام التشغيل Windows، ابحث عن Manage user certificates وحددها

3. ضمن الشهادات - المستخدم الحالي، حدد شخصي>الشهادات>yourappname.yourtenant.onmicrosoft.com.

4. حدد الشهادة، ثم حدد الإجراء>كل المهام>تصدير.

5. حدد التالي>نعم، تصدير المفتاح الخاص>التالي.

6. اقبل الإعدادات الافتراضية لـ تصدير تنسيق الملف، ثم حدد التالي.

7. قم بتمكين خيار كلمة المرور، وأدخل كلمة مرور للشهادة، ثم حدد التالي.

8. لتحديد موقع لحفظ الشهادة الخاصة بك، حدد استعراض وتنقل إلى الدليل الذي تختاره.

9. في نافذة Save As، أدخل File name، ثم حدد Save.

10. حدد التالي>وإنهاء.

لكي يقبل Azure AD B2C كلمة مرور ملف pfx. يجب تشفير كلمة المرور باستخدام الخيار TripleDES-SHA1 في الأداة المساعدة Windows Certificate Store Export، بدلاً من AES256-SHA256.

ماك

على macOS، استخدم مساعد الشهادة في Keychain Access لإنشاء شهادة.

1. اتبع الإرشادات حول كيفية إنشاء شهادات موقعة ذاتياً في تطبيق Keychain Access على جهاز Mac.
2. في تطبيق Keychain Access على جهاز Mac الخاص بك، حدد الشهادة التي أنشأتها.
3. حدد الملف>تصدير العناصر.
4. حدد اسم ملف لحفظ الشهادة الخاصة بك. على سبيل المثال: شهادة موقعة ذاتياً.p12.
5. بالنسبة إلى تنسيق الملف، حدد Personal Information Exchange (.p12).
6. حدد حفظ.
7. أدخل كلمة مرور في المربعين كلمة المرور وتحقق من الصحة.
8. استبدال ملحق الملف إلى .pfx. على سبيل المثال: self-signature-signature.pfx.

إنشاء مفتاح نهج

يجب أن تخزن الشهادة التي قمت بإنشائها في مستأجر Azure AD B2C.

1. سجل الدخول إلى مدخل Azure.
2. إذا كان لديك حق الوصول إلى عدة مستأجرين، فحدد رمز الإعدادات في القائمة العلوية للتبديل إلى مستأجر Azure AD B2C من قائمة Directories + subscriptions.
3. اختر كل الخدمات في الزاوية العلويةِ اليسرى من مدخل Microsoft Azure، ثم ابحث عن Azure AD B2Cوحدده.
4. في صفحة نظرة عامة، حدد Identity Experience Framework.
5. حدد Policy Keys ثم حدد Add.
6. بالنسبة للخيارات، اختر Upload .
7. أدخل اسمًاللنهج. على سبيل المثال SAMLSigningCert. يتم إضافة البادئةB2C_1A_ تلقائيًا إلى اسم مفتاحك.
8. استعرض واختر شهادة B2CSigningCert.pfx التي قمت بإنشائها.
9. أدخل كلمة المرور الخاصة بالشهادة.
10. انقر فوق إنشاء.

إضافة موفر المطالبات

إذا كنت تريد من المستخدمين تسجيل الدخول باستخدام حساب Salesforce، ستحتاج إلى تعريف الحساب كموفر مطالبات يمكن لـAzure AD B2C الاتصال به من خلال نقطة نهاية. توفر نقطة النهاية مجموعة من المطالبات التي يتم استخدامها عن طريق Azure AD B2C للتحقق من مصادقة مستخدمٍ معينٍ.

يمكنك تحديد حساب Salesforce كمزود للمطالبات عن طريق إضافته إلى عنصر ClaimsProviders في ملف الامتداد الخاص بسياستك. لمزيدٍ من المعلومات، راجع تعريف موفر هوية SAML.

1. افتح TrustFrameworkExtensions.xml.

2. ابحث عن عنصر ClaimsProviders. إذا لم يكن موجودًا، فقم بإضافته تحت عنصر الجذر.

3. قم بإضافة ClaimsProvider جديد على النحو التالي:

   <ClaimsProvider>
     <Domain>salesforce.com</Domain>
     <DisplayName>Salesforce</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="Salesforce-SAML2">
         <DisplayName>Salesforce</DisplayName>
         <Description>Login with your Salesforce account</Description>
         <Protocol Name="SAML2"/>
         <Metadata>
           <Item Key="WantsEncryptedAssertions">false</Item>
           <Item Key="WantsSignedAssertions">false</Item>
           <Item Key="PartnerEntity">https://contoso-dev-ed.my.salesforce.com/.well-known/samlidp.xml</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SAMLSigningCert"/>
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="userId"/>
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name"/>
           <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name"/>
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email"/>
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="username"/>
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication"/>
           <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="salesforce.com" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-idp"/>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. تحديث قيمة PartnerEntity مع URL الخاص ببيانات تعريف Salesforce التي قمت بنسخها سابقًا.

5. تحديث قيمة كلا مثيلي StorageReferenceId إلى اسم مفتاح شهادة التوقيع. على سبيل المثال، B2C_1A_SAMLSigningCert.

6. حدد موقع <ClaimsProviders> القسم ثم أضف مقتطف XML التالي. إذا كان النهج الخاص بك يحتوي بالفعل على ملف التعريف التقني SM-Saml-idp، انتقل إلى الخطوة التالية. لمزيدٍ من المعلومات، راجع إدارة جلسة عمل تسجيل دخول أحادي.

   <ClaimsProvider>
     <DisplayName>Session Management</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="SM-Saml-idp">
         <DisplayName>Session Management Provider</DisplayName>
         <Protocol Name="Proprietary" Handler="Web.TPEngine.SSO.SamlSSOSessionProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
         <Metadata>
           <Item Key="IncludeSessionIndex">false</Item>
           <Item Key="RegisterServiceProviders">false</Item>
         </Metadata>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

7. احفظ الملف.

إضافة الرحلة الخاصة بالمستخدم

عند هذه النقطة، تم إعداد موفر الهوية، ولكنه غير متوفر بعد في أي من صفحات تسجيل الدخول. إذا لم تكن لديك رحلة مستخدم مخصصة خاصة بك، فقم بإنشاء نسخة مكررة من رحلة المستخدم لقالب موجود، وإلا تابع إلى الخطوة التالية.

1. من حزمة البداية، افتح المَلف TrustFrameworkBase.xml.
2. ابحث عن المحتويات الكاملة لعنصر UserJourney الذي يتضمن Id="SignUpOrSignIn" وانسخها.
3. افتح TrustFrameworkExtensions.xml وابحث عن عنصر UserJourneys. إذا لم يكن العنصر موجودًا، فأضف عنصرًا.
4. الصق المحتوى الكامل لعنصر UserJourney الذي نسخته كعنصر تابع لعنصر UserJourneys.
5. أعِد تسمية المعرف الخاص بالرحلة. على سبيل المثال، Id="CustomSignUpSignIn".

إضافة موفر الهوية إلى الرحلة

الآن بعد أن أصبحت لديك رحلة مستخدم، أضف موفر الهوية الجديد إلى رحلة المستخدم. تضيف أولاً الزر الخاص بتسجيل الدخول، ثم تربط الزر بإجراءٍ ما. الإجراء هو ملف التعريف الفني الذي قمت بإنشائه مسبقًا.

1. ابحث عن عنصر خطوة التنسيق الذي يتضمن Type="CombinedSignInAndSignUp"، أو Type="ClaimsProviderSelection" في الرحلة. عادةَ ما تكون الخطوة الأولى للتزامن. يحتوي عنصر ClaimsProviderSelections على قائمة موفري الهوية التي يمكن للمستخدم تسجيل الدخول من خلالها. يتحكم ترتيب العناصر في ترتيب أزرار تسجيل الدخول التي يتم عرضها للمستخدم. أضف عنصر XML ClaimsProviderSelection. تعيين قيمة TargetClaimsExchangeId إلى اسم مألوف.

2. في خطوة التنسيق التالية، أضف عنصر ClaimsExchange . قم بتعيين المعرف إلى قيمة معرف تبادل المطالبات الهدف. وقم بتحديث قيمة TechnicalProfileReferenceId لمعرف ملف التعريف الفني الذي أنشأته مسبقاً.

يوضح XML التالي أول خطوتين للتنسيق لرحلة المستخدم من خلال موفر الهوية:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="SalesforceExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="SalesforceExchange" TechnicalProfileReferenceId="Salesforce-SAML2" />
  </ClaimsExchanges>
</OrchestrationStep>

تكوين نهج جهة الاعتماد

يحدد نهج جهة الاعتماد، على سبيل المثال SignUpSignIn.xml، رحلة المستخدم التي سيقوم Azure AD B2C بتنفيذها. ابحث عن العنصر DefaultUserJourney ضمن جهة الاعتماد. قم بتحديث ReferenceId ليطابق معرّف رحلة المستخدم، الذي أضفت فيه موفر الهوية.

في المثال التالي، بالنسبة إلى CustomSignUpSignInرحلة المستخدم، تم تعيين ReferenceId إلى CustomSignUpSignIn:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

تحميل النهج المخصص

1. سجل الدخول إلى مدخل Azure.
2. حدد مرشح «الدليل+الاشتراك»في القائمة العلوية، ثم حدد الدليل الذي يحتوي على مستأجر Azure AD B2C.
3. في مدخل Microsoft Azure، ابحث عن Azure AD B2C وحددها.
4. ضمن Policies، حدد Identity Experience Framework.
5. حدّد Upload Custom Policy، ثم قم بتحميل ملفي النهج اللذين قمت بتغييرهما بالترتيب التالي: نهج التوسيع، على سبيل المثال TrustFrameworkExtensions.xml، ثم نهج جهة الاعتماد، مثل SignUpSignIn.xml.

اختبار النهج المخصص لديك

1. حدد نهج جهة الاعتماد، على سبيل المثالB2C_1A_signup_signin.
2. للوصول إلى التطبيق، حدّد تطبيق الويب الذي قمت بتسجيله مسبقاً. عنوان URL الرد يجب أن يعرض https://jwt.ms.
3. حدّدالتشغيل الآن الزر.
4. من صفحة التسجيل أو تسجيل الدخول، حدّد Salesforce لتسجيل الدخول باستخدام حساب Salesforce.

إذا نجحت عملية تسجيل الدخول، فستتم إعادة توجيه المستعرض الخاص بك إلى، https://jwt.ms، والذي يعرض محتويات الرمز المميز الذي تم إرجاعه بواسطة Azure AD B2C.