حدد ملفًا شخصيًّا تقنيًّا لمُصدر رمز SAML المميز في نهج Microsoft Azure Active Directory B2C المخصص
إشعار
في Azure Active Directory B2C، تم تصميم النُهج المخصصة بشكل أساسي لمعالجة السيناريوهات المعقدة. بالنسبة إلى معظم السيناريوهات، نوصي باستخدام تدفقات المستخدم المضمنة. إذا لم تقم بذلك، تعرف على حزمة بادئ النهج المخصصة في البدء باستخدام النهج المخصصة في Active Directory B2C.
Microsoft Azure Active Directory B2C (Azure AD B2C) تنبعث منها عدة أنواع من رموز الأمان المميزة أثناء معالجة كل تدفق مصادقة. يُظهر ملف التعريف الفني لجهة إصدار الرمز المميز SAML رمز SAML الذي يتم إرجاعه مرة أخرى إلى تطبيق جهة الاعتماد. عادةً ما يكون هذا الملف الشخصي الفني هو آخر خطوة تنسيق في رحلة المستخدم.
بروتوكول
يجب تعيين سمة اسم عنصر البروتوكول على OpenIdConnect
. عيين العنصر«تنسيق رمز الإخراج»علىJWT
.
يوضح المثال التالي ملفًا شخصيًّا فنيًّا لـ JwtIssuer
:
<TechnicalProfile Id="JwtIssuer">
<DisplayName>JWT Issuer</DisplayName>
<Protocol Name="OpenIdConnect" />
<OutputTokenFormat>JWT</OutputTokenFormat>
<Metadata>
<Item Key="client_id">{service:te}</Item>
<Item Key="issuer_refresh_token_user_identity_claim_type">objectId</Item>
<Item Key="SendTokenResponseBodyWithJsonNumbers">true</Item>
</Metadata>
<CryptographicKeys>
<Key Id="issuer_secret" StorageReferenceId="B2C_1A_TokenSigningKeyContainer" />
<Key Id="issuer_refresh_token_key" StorageReferenceId="B2C_1A_TokenEncryptionKeyContainer" />
</CryptographicKeys>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-jwt-issuer" />
</TechnicalProfile>
مطالبات المدخلات والمخرجات والمطالبات المستمرة
عناصر مطالبات المدخلات و مطالبات المخرجات و المطالبات المستمرة فارغة أو غير موجودة. كما أن عنصري تحويلات مطالبات المدخلات و تحويلات مطالبات المخرجات غائبان أيضًا.
بيانات التعريف
السمة | المطلوب | الوصف |
---|---|---|
issuer_refresh_token_user_identity_claim_type | نعم | المطالبة التي ينبغي استخدامها كمطالبة هوية المستخدم ضمن رموز التخويل OAuth2 وتحديث الرموز المميزة. بشكل افتراضي، يجب عليك تعيينها إلى objectId ، إلا إذا حددت نوع مطالبة مختلفة لمعلومات اسم الموضوع. |
SendTokenResponseBodyWithJsonNumbers | لا | عيّنها بشل دائم إلى true . للتنسيق القديم حيث يتم إعطاء القيم الرقمية كسلاسل بدلًا من أرقام JSON، عيّن إلى false . هذه السمة مطلوبة للعملاء الذين أجروا التبعية على تطبيق مبكر، والذي قام بإرجاع الخصائص في صورة سلاسل. |
token_lifetime_secs | لا | تمديد عمر الرمز المميز للوصول. عمر الرمز المميز لحامل OAuth 2.0 المستخدم للحصول على صلاحية الوصول إلى مورد محمي. المهلة الافتراضية هي 3,600 ثانية (ساعة واحدة 1). يكون الحد الأدنى (الشامل) 300 دقيقة (5 دقائق). يكون الحد الأقصى (الشامل) هو 86400 ثانية (24 ساعة). |
id_token_lifetime_secs | لا | مدة بقاء الرمز المميز. المهلة الافتراضية هي 3,600 ثانية (ساعة واحدة 1). يكون الحد الأدنى (الشامل) 300 دقيقة (5 دقائق). يكون الحد الأقصى (الشامل) هو 86400 ثانية (24 ساعة). |
refresh_token_lifetime_secs | لا | تحديث مدة بقاء الرمز المميز. الحد الأقصى للفترة الزمنية التي يمكن قبلها استخدام رمز التحديث المميز للحصول على رمز وصول جديد، إذا تم منح التطبيق الخاص بك نطاق offline_access. المهلة الافتراضية هي 120,9600 ثانية (14 يومًا). يكون الحد الأدنى (الشامل) 86,400 ثانية (24 دقيقة). يكون الحد الأقصى (الشامل) 7776000 ثانية (90 ساعة). |
rolling_refresh_token_lifetime_secs | لا | تحديث مدة بقاء نافذة منزلقة للرمز المميز. بعد انقضاء هذه الفترة الزمنية، يضطر المستخدم إلى إعادة المصادقة، بغض النظر عن فترة صلاحية أحدث رمز تحديث مميز حصل عليه التطبيق. إذا كنت لا تريد فرض مدة بقاء نافذة منزلقة، عيّن قيمة السماح_غير محدد_التحريك_التحديث_الرمز المميز إلىtrue . تكون المهلة الافتراضية 7,776,000 ثانية (90 يومًا). يكون الحد الأدنى (الشامل) 86,400 ثانية (24 دقيقة). يكون الحد الأقصى (الشامل) 31,536,000 ثانية (365 ساعة). |
allow_infinite_rolling_refresh_token | لا | في حال التعيين إلى true ، فلن تنتهي مدة بقاء النافذة المنزلقة للرمز المميز للتحديث. |
IssuanceClaimPattern | لا | عناصر التحكم في مطالبة المُصدر (iss). إحدى القِيَم:
|
AuthenticationContextReferenceClaimPattern | لا | يتحكم في acr قيمة المطالبة.
<Item> من خلال وجودKey="AuthenticationContextReferenceClaimPattern" وتكون القيمة هي None . في نهج جهة الاعتماد، أضف <OutputClaims> «العنصر، أضف هذا العنصر»<OutputClaim ClaimTypeReferenceId="trustFrameworkPolicy" Required="true" DefaultValue="{policy}" PartnerClaimType="tfp"/> . تأكد أيضًا من أن نهجك يحتوي على نوع المطالبة <ClaimType Id="trustFrameworkPolicy"> <DisplayName>trustFrameworkPolicy</DisplayName> <DataType>string</DataType> </ClaimType> |
RefreshTokenUserJourneyId | لا | معرف رحلة مستخدم التي ينبغي تنفيذها أثناء تحديث طلب نشر رمز الوصول المميز إلى /token نقطة النهاية. |
مفاتيح تشفير
يشتمل عنصر تشفير المفاتيح على السمات التالية:
السمة | المطلوب | الوصف |
---|---|---|
issuer_secret | نعم | تستخدم شهادة X509 الرقمية (مجموعة مفاتيح RSA) لتوقيع استخدام رمز JWT المميز. هذا هوB2C_1A_TokenSigningKeyContainer المفتاح الذي كوّنته في البدء باستخدام النهج المخصص . |
issuer_refresh_token_key | نعم | شهادة X509 الرقمية (مجموعة مفاتيح RSA) لاستخدامها لتشفير الرمز المميز للتحديث. لقد كوّنتB2C_1A_TokenEncryptionKeyContainer المفتاح في القائمة البدء باستخدام النهج المخصص |
إدارة جلسات العمل
لتكوين جلسات Microsoft Azure AD B2C بين Microsoft Azure AD B2C وتطبيق جهة الاعتماد، من سمة العنصر UseTechnicalProfileForSessionManagement
، إضافة مرجع إلىOAuthSSOSessionProvider جلسة SSO.