حدد ملفًا شخصيًّا تقنيًّا لمُصدر رمز SAML المميز في نهج Microsoft Azure Active Directory B2C المخصص

مقالة
01/11/2024

إشعار

في Azure Active Directory B2C، تم تصميم النُهج المخصصة بشكل أساسي لمعالجة السيناريوهات المعقدة. بالنسبة إلى معظم السيناريوهات، نوصي باستخدام تدفقات المستخدم المضمنة. إذا لم تقم بذلك، تعرف على حزمة بادئ النهج المخصصة في البدء باستخدام النهج المخصصة في Active Directory B2C.

Microsoft Azure Active Directory B2C (Azure AD B2C) تنبعث منها عدة أنواع من رموز الأمان المميزة أثناء معالجة كل تدفق مصادقة. يُظهر ملف التعريف الفني لجهة إصدار الرمز المميز SAML رمز SAML الذي يتم إرجاعه مرة أخرى إلى تطبيق جهة الاعتماد. عادةً ما يكون هذا الملف الشخصي الفني هو آخر خطوة تنسيق في رحلة المستخدم.

بروتوكول

يجب تعيين سمة اسم عنصر البروتوكول على OpenIdConnect. عيين العنصر«تنسيق رمز الإخراج»علىJWT.

يوضح المثال التالي ملفًا شخصيًّا فنيًّا لـ JwtIssuer:

<TechnicalProfile Id="JwtIssuer">
  <DisplayName>JWT Issuer</DisplayName>
  <Protocol Name="OpenIdConnect" />
  <OutputTokenFormat>JWT</OutputTokenFormat>
  <Metadata>
    <Item Key="client_id">{service:te}</Item>
    <Item Key="issuer_refresh_token_user_identity_claim_type">objectId</Item>
    <Item Key="SendTokenResponseBodyWithJsonNumbers">true</Item>
  </Metadata>
  <CryptographicKeys>
    <Key Id="issuer_secret" StorageReferenceId="B2C_1A_TokenSigningKeyContainer" />
    <Key Id="issuer_refresh_token_key" StorageReferenceId="B2C_1A_TokenEncryptionKeyContainer" />
  </CryptographicKeys>
  <UseTechnicalProfileForSessionManagement ReferenceId="SM-jwt-issuer" />
</TechnicalProfile>

مطالبات المدخلات والمخرجات والمطالبات المستمرة

عناصر مطالبات المدخلات و مطالبات المخرجات و المطالبات المستمرة فارغة أو غير موجودة. كما أن عنصري تحويلات مطالبات المدخلات و تحويلات مطالبات المخرجات غائبان أيضًا.

بيانات التعريف

السمة	المطلوب	‏‏الوصف
issuer_refresh_token_user_identity_claim_type	‏‏نعم‬	المطالبة التي ينبغي استخدامها كمطالبة هوية المستخدم ضمن رموز التخويل OAuth2 وتحديث الرموز المميزة. بشكل افتراضي، يجب عليك تعيينها إلى `objectId`، إلا إذا حددت نوع مطالبة مختلفة لمعلومات اسم الموضوع.
SendTokenResponseBodyWithJsonNumbers	لا	عيّنها بشل دائم إلى `true`. للتنسيق القديم حيث يتم إعطاء القيم الرقمية كسلاسل بدلًا من أرقام JSON، عيّن إلى `false`. هذه السمة مطلوبة للعملاء الذين أجروا التبعية على تطبيق مبكر، والذي قام بإرجاع الخصائص في صورة سلاسل.
token_lifetime_secs	لا	تمديد عمر الرمز المميز للوصول. عمر الرمز المميز لحامل OAuth 2.0 المستخدم للحصول على صلاحية الوصول إلى مورد محمي. المهلة الافتراضية هي 3,600 ثانية (ساعة واحدة 1). يكون الحد الأدنى (الشامل) 300 دقيقة (5 دقائق). يكون الحد الأقصى (الشامل) هو 86400 ثانية (24 ساعة).
id_token_lifetime_secs	لا	مدة بقاء الرمز المميز. المهلة الافتراضية هي 3,600 ثانية (ساعة واحدة 1). يكون الحد الأدنى (الشامل) 300 دقيقة (5 دقائق). يكون الحد الأقصى (الشامل) هو 86400 ثانية (24 ساعة).
refresh_token_lifetime_secs	لا	تحديث مدة بقاء الرمز المميز. الحد الأقصى للفترة الزمنية التي يمكن قبلها استخدام رمز التحديث المميز للحصول على رمز وصول جديد، إذا تم منح التطبيق الخاص بك نطاق offline_access. المهلة الافتراضية هي 120,9600 ثانية (14 يومًا). يكون الحد الأدنى (الشامل) 86,400 ثانية (24 دقيقة). يكون الحد الأقصى (الشامل) 7776000 ثانية (90 ساعة).
rolling_refresh_token_lifetime_secs	لا	تحديث مدة بقاء نافذة منزلقة للرمز المميز. بعد انقضاء هذه الفترة الزمنية، يضطر المستخدم إلى إعادة المصادقة، بغض النظر عن فترة صلاحية أحدث رمز تحديث مميز حصل عليه التطبيق. إذا كنت لا تريد فرض مدة بقاء نافذة منزلقة، عيّن قيمة السماح_غير محدد_التحريك_التحديث_الرمز المميز إلى`true`. تكون المهلة الافتراضية 7,776,000 ثانية (90 يومًا). يكون الحد الأدنى (الشامل) 86,400 ثانية (24 دقيقة). يكون الحد الأقصى (الشامل) 31,536,000 ثانية (365 ساعة).
allow_infinite_rolling_refresh_token	لا	في حال التعيين إلى `true`، فلن تنتهي مدة بقاء النافذة المنزلقة للرمز المميز للتحديث.
IssuanceClaimPattern	لا	عناصر التحكم في مطالبة المُصدر (iss). إحدى القِيَم: AuthorityAndTenantGuid - تشتمل مطالبة الإصدار على اسم المجال الخاص بك، مثل `login.microsoftonline` أو `tenant-name.b2clogin.com` ومعرف المستأجر الخاص بك https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000/v2.0/ AuthorityWithTfp - تشمل مطالبة المُصدر اسم النطاق الخاص بك مثل `login.microsoftonline` أو `tenant-name.b2clogin.com`، ومعرّف المستأجر الخاص بك واسم نهج جهة الاعتماد. https://login.microsoftonline.com/tfp/00000000-0000-0000-0000-000000000000/b2c_1a_tp_sign-up-or-sign-in/v2.0/ القيمة الافتراضية: المرجع ودليل المستأجر
AuthenticationContextReferenceClaimPattern	لا	يتحكم في `acr` قيمة المطالبة. لا شيء - لا يصدر Microsoft Azure AD B2C مطالبة الاعتماد معرف النهج - `acr` تحتوي المطالبة على اسم النهج تتمثّل خيارات إعداد هذه القيمة في TFP (نهج إطار الثقة) و ACR (مرجع سياق المصادقة). من المستحسن إعداد هذه القيمة إلى TFP، لتعيين القيمة، تأكد `<Item>` من خلال وجود`Key="AuthenticationContextReferenceClaimPattern"`وتكون القيمة هي `None`. في نهج جهة الاعتماد، أضف `<OutputClaims>` «العنصر، أضف هذا العنصر»`<OutputClaim ClaimTypeReferenceId="trustFrameworkPolicy" Required="true" DefaultValue="{policy}" PartnerClaimType="tfp"/>`. تأكد أيضًا من أن نهجك يحتوي على نوع المطالبة `<ClaimType Id="trustFrameworkPolicy"> <DisplayName>trustFrameworkPolicy</DisplayName> <DataType>string</DataType> </ClaimType>`
RefreshTokenUserJourneyId	لا	معرف رحلة مستخدم التي ينبغي تنفيذها أثناء تحديث طلب نشر رمز الوصول المميز إلى `/token` نقطة النهاية.

مفاتيح تشفير

يشتمل عنصر تشفير المفاتيح على السمات التالية:

السمة	المطلوب	‏‏الوصف
issuer_secret	‏‏نعم‬	تستخدم شهادة X509 الرقمية (مجموعة مفاتيح RSA) لتوقيع استخدام رمز JWT المميز. هذا هو`B2C_1A_TokenSigningKeyContainer` المفتاح الذي كوّنته في البدء باستخدام النهج المخصص .
issuer_refresh_token_key	‏‏نعم‬	شهادة X509 الرقمية (مجموعة مفاتيح RSA) لاستخدامها لتشفير الرمز المميز للتحديث. لقد كوّنت`B2C_1A_TokenEncryptionKeyContainer` المفتاح في القائمة البدء باستخدام النهج المخصص

إدارة جلسات العمل

لتكوين جلسات Microsoft Azure AD B2C بين Microsoft Azure AD B2C وتطبيق جهة الاعتماد، من سمة العنصر UseTechnicalProfileForSessionManagement، إضافة مرجع إلىOAuthSSOSessionProvider جلسة SSO.

مشاركة عبر