Hinzufügen von AD FS als SAML-Identitätsanbieter mithilfe benutzerdefinierter Richtlinien in Azure Active Directory B2C

Bevor Sie beginnen, verwenden Sie den Auswahlpunkt Richtlinientyp wählen, um die Art der Richtlinie auszuwählen, die Sie einrichten möchten. Azure Active Directory B2C bietet zwei Methoden zum Definieren der Benutzerinteraktion mit Ihren Anwendungen: vordefinierte Benutzerflows oder vollständig konfigurierbare benutzerdefinierte Richtlinien. Die Schritte, die in diesem Artikel erforderlich sind, unterscheiden sich für jede Methode.

Dieses Feature ist nur für benutzerdefinierte Richtlinien verfügbar. Wählen Sie für die Einrichtungsschritte in der vorherigen Auswahl die Option Benutzerdefinierte Richtlinie aus.

Hinweis

In Azure Active Directory B2C sind benutzerdefinierte Richtlinien in erster Linie für komplexe Szenarien konzipiert. Für die meisten Szenarien empfehlen wir die Verwendung von integrierten Benutzerflows. Informieren Sie sich, sofern noch nicht geschehen, unter Tutorial: Erstellen von Benutzerflows und benutzerdefinierten Richtlinien in Azure Active Directory B2C über das Starter Pack für benutzerdefinierte Richtlinien.

In diesem Artikel wird beschrieben, wie Sie die Anmeldung für ein AD FS-Benutzerkonto mithilfe benutzerdefinierter Richtlinien in Azure Active Directory B2C (Azure AD B2C) aktivieren. Sie ermöglichen die Anmeldung, indem Sie einer benutzerdefinierten Richtlinie einen SAML-Idenditätsanbieter hinzufügen.

Voraussetzungen

• Führen Sie die unter Erste Schritte für benutzerdefinierte Richtlinien in Azure Active Directory B2C beschriebenen Schritte aus.
• Wenn dies noch nicht erfolgt ist, registrieren Sie eine Webanwendung.

Erstellen eines selbstsignierten Zertifikats

Wenn Sie noch nicht über ein Zertifikat verfügen, können Sie ein selbstsigniertes Zertifikat verwenden. Ein selbstsigniertes Zertifikat ist ein Sicherheitszertifikat, das nicht von einer Zertifizierungsstelle (ZS) signiert ist und nicht die Sicherheitsgarantien eines Zertifikats bietet, das von einer Zertifizierungsstelle signiert wurde.

Windows

Verwenden Sie unter Windows das PowerShell-Cmdlet New-SelfSignedCertificate, um ein Zertifikat zu generieren.

1. Führen Sie den folgenden PowerShell-Befehl aus, um ein selbstsigniertes Zertifikat zu generieren. Ändern Sie das Argument -Subject entsprechend Ihrer Anwendung und dem Azure AD B2C-Mandantennamen, z. B. contosowebapp.contoso.onmicrosoft.com. Sie können auch das -NotAfter-Datum anpassen, um einen anderen Ablaufzeitpunkt für das Zertifikat anzugeben.

   New-SelfSignedCertificate `
       -KeyExportPolicy Exportable `
       -Subject "CN=yourappname.yourtenant.onmicrosoft.com" `
       -KeyAlgorithm RSA `
       -KeyLength 2048 `
       -KeyUsage DigitalSignature `
       -NotAfter (Get-Date).AddMonths(12) `
       -CertStoreLocation "Cert:\CurrentUser\My"
   

2. Suchen Sie auf dem Windows-Computer nach Benutzerzertifikate verwalten und wählen Sie

3. Wählen Sie unter Zertifikate - Aktueller Benutzer die Option Persönlich>Zertifikate>IhrAnwendungsname.ihrmieter.onmicrosoft.com.

4. Wählen Sie das Zertifikat und dann Aktion>Alle Aufgaben>Exportieren aus.

5. Wählen Sie Weiter>Ja, den privaten Schlüssel exportieren>Weiter.

6. Übernehmen Sie die Standardeinstellungen für Exportdateiformat, und wählen Sie dann Weiter.

7. Aktivieren Sie die Option Passwort, geben Sie ein Passwort für das Zertifikat ein, und wählen Sie dann Weiter.

8. Um einen Speicherort für Ihr Zertifikat anzugeben, wählen Sie Durchsuchen und navigieren Sie zu einem Verzeichnis Ihrer Wahl.

9. Geben Sie im Fenster Speichern unter einen Dateinamen ein, und wählen Sie dann Speichern.

10. Wählen Sie Weiter>Fertig stellen aus.

Damit das Kennwort für die PFX-Datei in Azure AD B2C akzeptiert wird, muss es statt mit „AES256-SHA256“ mit der Option „TripleDES-SHA1“ im Exporthilfsprogramm des Windows-Zertifikatspeichers verschlüsselt werden.

macOS

Verwenden Sie unter macOS den Zertifikatsassistenten in Keychain Access, um ein Zertifikat zu generieren.

1. Führen Sie die Anweisungen unter Erstellen von selbstsignierten Zertifikaten mit der Schlüsselbundverwaltung auf dem Mac aus.
2. Wählen Sie in der App „Schlüsselbundverwaltung“ auf Ihrem Mac das von Ihnen erstellte Zertifikat aus.
3. Wählen Sie Ablage>Objekte exportieren aus.
4. Wählen Sie einen Dateinamen aus, um das Zertifikat zu speichern. Beispiel: self-signed-certificate.p12.
5. Wählen Sie als Dateiformat die Option Personal Information Exchange (.p12) aus.
6. Wählen Sie Speichern aus.
7. Geben Sie ein Kennwort in den Feldern Kennwort und Bestätigen ein.
8. Ändern Sie die Erweiterung der Datei in „.pfx“. Beispiel: self-signed-certificate.pfx.

Erstellen eines Richtlinienschlüssels

Sie müssen Ihr Zertifikat in Ihrem Azure AD B2C-Mandanten speichern.

1. Melden Sie sich beim Azure-Portal an.
2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
3. Wählen Sie links oben im Azure-Portal die Option Alle Dienste aus, suchen Sie nach Azure AD B2C, und wählen Sie dann diese Option aus.
4. Wählen Sie auf der Seite „Übersicht“ die Option Framework für die Identitätsfunktion aus.
5. Klicken Sie erst auf Richtlinienschlüssel und anschließend auf Hinzufügen.
6. Klicken Sie unter Optionen auf Upload.
7. Geben Sie einen Namen für den Richtlinienschlüssel ein. Beispiel: SAMLSigningCert. Dem Namen Ihres Schlüssels wird automatisch das Präfix B2C_1A_ hinzugefügt.
8. Navigieren Sie zur PFX-Datei Ihres Zertifikats mit dem privaten Schlüssel, und wählen Sie sie aus.
9. Klicken Sie auf Erstellen.

Hinzufügen eines Anspruchsanbieters

Wenn Sie möchten, dass sich Benutzer mit einem AD FS-Konto anmelden, müssen Sie das Konto als Anspruchsanbieter definieren, mit dem Azure AD B2C über einen Endpunkt kommunizieren kann. Der Endpunkt bietet eine Reihe von Ansprüchen, mit denen Azure AD B2C überprüft, ob ein bestimmter Benutzer authentifiziert wurde.

Sie können ein AD FS-Konto als Anspruchsanbieter definieren, indem Sie es in der Erweiterungsdatei Ihrer Richtlinie dem ClaimsProviders-Element hinzufügen. Weitere Informationen finden Sie unter Definieren eines SAML-Identitätsanbieters.

1. Öffnen Sie die Datei TrustFrameworkExtensions.xml.

2. Suchen Sie nach dem Element ClaimsProviders. Falls das Element nicht vorhanden sein sollte, fügen Sie es unter dem Stammelement hinzu.

3. Fügen Sie ein neues ClaimsProvider-Element wie folgt hinzu:

   <ClaimsProvider>
     <Domain>contoso.com</Domain>
     <DisplayName>Contoso</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="Contoso-SAML2">
         <DisplayName>Contoso</DisplayName>
         <Description>Login with your AD FS account</Description>
         <Protocol Name="SAML2"/>
         <Metadata>
           <Item Key="WantsEncryptedAssertions">false</Item>
           <Item Key="PartnerEntity">https://your-AD-FS-domain/federationmetadata/2007-06/federationmetadata.xml</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SAMLSigningCert"/>
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="userPrincipalName" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name"/>
           <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name"/>
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email"/>
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name"/>
           <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="contoso.com" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication"/>
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-idp"/>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Ersetzen Sie your-AD-FS-domain durch den Namen Ihrer AD FS-Domäne und den Wert des identityProvider-Ausgabeanspruchs durch Ihren DNS (beliebiger Wert, der Ihre Domäne angibt).

5. Suchen Sie den Abschnitt <ClaimsProviders>, und fügen Sie den folgenden XML-Codeausschnitt hinzu. Wenn Ihre Richtlinie das technische SM-Saml-idp-Profil bereits enthält, fahren Sie mit dem nächsten Schritt fort. Weitere Informationen finden Sie unter Sitzungsverwaltung für einmaliges Anmelden.

   <ClaimsProvider>
     <DisplayName>Session Management</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="SM-Saml-idp">
         <DisplayName>Session Management Provider</DisplayName>
         <Protocol Name="Proprietary" Handler="Web.TPEngine.SSO.SamlSSOSessionProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
         <Metadata>
           <Item Key="IncludeSessionIndex">false</Item>
           <Item Key="RegisterServiceProviders">false</Item>
         </Metadata>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

6. Speichern Sie die Datei .

Hinzufügen einer User Journey

Der Identitätsanbieter wurde nun eingerichtet, aber er ist noch auf keiner der Anmeldeseiten verfügbar. Wenn Sie nicht über eine eigene benutzerdefinierte User Journey verfügen, erstellen Sie ein Duplikat einer vorhandenen User Journey-Vorlage, und fahren Sie andernfalls mit dem nächsten Schritt fort.

1. Öffnen Sie die Datei TrustFrameworkBase.xml aus dem Starter Pack.
2. Suchen und kopieren Sie den gesamten Inhalt des UserJourney-Elements, das Id="SignUpOrSignIn" enthält.
3. Öffnen Sie die Datei TrustFrameworkExtensions.xml, und suchen Sie nach dem UserJourneys-Element. Wenn das Element nicht vorhanden ist, fügen Sie ein solches hinzu.
4. Fügen Sie den gesamten Inhalt des kopierten UserJourney-Element als untergeordnetes Element des UserJourneys-Elements ein.
5. Benennen Sie die ID der User Journey um. Beispiel: Id="CustomSignUpSignIn".

Hinzufügen des Identitätsanbieters zu einer User Journey

Nachdem Sie nun über eine User Journey verfügen, fügen Sie den neuen Identitätsanbieter der User Journey hinzu. Fügen Sie zunächst eine Anmeldeschaltfläche hinzu, und verknüpfen Sie dann die Schaltfläche mit einer Aktion. Die Aktion ist das technische Profil, das Sie zuvor erstellt haben.

1. Suchen Sie nach dem Orchestrierungsschrittelement, das Type="CombinedSignInAndSignUp" enthält, oder Type="ClaimsProviderSelection" in der User Journey. Dies ist in der Regel der erste Orchestrierungsschritt. Das ClaimsProviderSelections-Element enthält eine Liste mit Identitätsanbietern, mit denen sich ein Benutzer anmelden kann. Die Reihenfolge der Elemente gibt die Reihenfolge der Anmeldeschaltflächen vor, die dem Benutzer angezeigt werden. Fügen Sie ein ClaimsProviderSelection-XML-Element hinzu. Legen Sie für TargetClaimsExchangeId einen Anzeigenamen fest.

2. Fügen Sie im nächsten Orchestrierungsschritt ein ClaimsExchange-Element hinzu. Legen Sie die ID auf den Wert der Zielanspruchs-Austausch-ID fest. Ändern Sie den Wert von TechnicalProfileReferenceId in die ID des technischen Profils, das Sie zuvor erstellt haben.

Der folgende XML-Code veranschaulicht die ersten beiden Orchestrierungsschritte einer User Journey mit dem Identitätsanbieter:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="ContosoExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="ContosoExchange" TechnicalProfileReferenceId="Contoso-SAML2" />
  </ClaimsExchanges>
</OrchestrationStep>

Konfigurieren einer Richtlinie für die vertrauende Seite

Die Richtlinie für die vertrauende Seite (z. B. SignUpSignIn.xml) gibt die User Journey an, die Azure AD B2C ausführt. Suchen Sie das DefaultUserJourney-Element in Vertrauende Seite. Aktualisieren Sie ReferenceId auf die ID der User Journey, in der Sie den Identitätsanbieter hinzugefügt haben.

Im folgenden Beispiel wird die ReferenceId für die User Journey CustomSignUpSignIn auf CustomSignUpSignIn festgelegt:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Hochladen der benutzerdefinierten Richtlinie

1. Melden Sie sich beim Azure-Portal an.
2. Wählen Sie auf der Symbolleiste des Portals das Symbol Verzeichnis und Abonnement aus, und wählen Sie dann das Verzeichnis aus, das Ihren Azure AD B2C-Mandanten enthält.
3. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.
4. Wählen Sie unter Richtlinien die Option Identity Experience Framework aus.
5. Wählen Sie Benutzerdefinierte Richtlinie hochladen aus, und laden Sie dann die beiden geänderten Richtliniendateien in der folgenden Reihenfolge hoch: zuerst die Erweiterungsrichtlinie (z. B. TrustFrameworkExtensions.xml) und dann die Richtlinie für die vertrauende Seite (z. B. SignUpSignIn.xml).

Konfigurieren einer AD FS-Vertrauensstellung der vertrauenden Seite

Um AD FS als Identitätsanbieter in Azure AD B2C verwenden zu können, müssen Sie eine AD FS-Vertrauensstellung der vertrauenden Seite mit den SAML-Metadaten von Azure AD B2C erstellen. Das folgende Beispiel zeigt eine URL der SAML-Metadaten eines technischen Azure AD B2C-Profils:

https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/your-policy/samlp/metadata?idptp=your-technical-profile

Verwenden Sie bei einer benutzerdefinierten Domäne das folgende Format:

https://your-domain-name/your-tenant-name.onmicrosoft.com/your-policy/samlp/metadata?idptp=your-technical-profile

Ersetzen Sie die folgenden Werte:

• your-tenant-name durch den Namen Ihres Mandanten, z. B. Ihr-Mandant.onmicrosoft.com.
• your-domain-name durch den Namen Ihrer benutzerdefinierten Domäne, z. B. login.contoso.com.
• your-policy durch den Namen Ihrer Richtlinie. Beispiel: B2C_1A_signup_signin_adfs.
• your-technical-profile durch den Namen des technische Profil des SAML-Identitätsanbieters. Beispiel: Contoso-SAML2

Öffnen Sie einen Browser, und browsen Sie zu dieser URL. Stellen Sie sicher, dass Sie die richtige URL eingeben und dass Sie Zugriff auf die XML-Metadatendatei haben. Um eine neue Vertrauensstellung der vertrauenden Seite mithilfe des AD FS-Verwaltungs-Snap-Ins hinzuzufügen und die Einstellungen manuell zu konfigurieren, führen Sie das folgende Verfahren auf einem Verbundserver aus. Eine Mitgliedschaft in Administratoren oder Entsprechendem auf dem lokalen Computer ist die Mindestvoraussetzung, um dieses Verfahren abzuschließen.

1. Wählen Sie im Server-Manager Tools und dann AD FS-Verwaltung aus.

2. Wählen Sie Hinzufügen der Vertrauensstellung der vertrauenden Seite.

3. Wählen Sie auf der Seite Willkommen die Option Ansprüche unterstützend und dann Start aus.

4. Wählen Sie auf der Seite Datenquelle auswählen die Option Import data about the relying party publish online or on a local network (Daten über die vertrauende Seite für die Veröffentlichung online oder in einem lokalen Netzwerk importieren) aus, geben Sie Ihre Azure AD B2C-Metadaten-URL an, und wählen Sie dann Weiter aus.

5. Geben Sie auf der Seite Anzeigename angeben in Anzeigename einen Namen und unter Hinweise eine Beschreibung für diese Vertrauensstellung der vertrauenden Seite ein, und wählen Sie dann Weiter aus.

6. Wählen Sie auf der Seite Zugriffssteuerungsrichtlinie auswählen eine Richtlinie und dann Weiter aus.

7. Überprüfen Sie die Einstellungen auf der Seite Bereit zum Hinzufügen der Vertrauensstellung, und wählen Sie dann Weiter aus, um die Daten Ihrer Vertrauensstellung der vertrauenden Seite zu speichern.

8. Wählen Sie auf der Seite Fertig stellen die Option Schließen aus. Damit zeigen Sie automatisch das Dialogfeld Anspruchsregeln bearbeiten an.

9. Wählen Sie Regel hinzufügen aus.

10. Wählen Sie in Anspruchsregelvorlage die Option Senden von LDAP-Attributen als Ansprüche aus.

11. Geben Sie einen Anspruchsregelnamen an. Wählen Sie als Attributspeicher die Option Active Directory aus. Fügen Sie die folgenden Ansprüche hinzu, und wählen Sie Fertig stellen und OK aus.

    LDAP-Attribut	Typ des ausgehenden Anspruchs
    Benutzerprinzipalname	userPrincipalName
    Surname	family_name
    Vorname	given_name
    E-Mail-Adresse	E-mail
    Anzeigename	name

    Beachten Sie, dass einige dieser Namen in der Dropdownliste der Typen für ausgehende Ansprüche nicht angezeigt werden. Sie müssen sie manuell eingeben. (Die Dropdownliste kann bearbeitet werden.)

12. Basierend auf Ihrem Zertifikattyp müssen Sie möglicherweise den Hashalgorithmus festlegen. Wählen Sie im Eigenschaftenfenster der Vertrauensstellung der vertrauenden Seite (B2C-Demo) die Registerkarte Erweitert aus, ändern Sie Sicherer Hashalgorithmus in SHA-256, und wählen Sie dann OK aus.

13. Wählen Sie im Server-Manager Tools und dann AD FS-Verwaltung aus.

14. Wählen Sie die Vertrauensstellung der vertrauenden Seite, die Sie erstellt haben, anschließend Update ausführen aus Verbundmetadaten und dann Aktualisieren aus.

Testen der benutzerdefinierten Richtlinie

1. Melden Sie sich beim Azure-Portal an.
2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
3. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.
4. Wählen Sie unter Richtlinien die Option Identity Experience Framework aus.
5. Wählen Sie die Richtliniendatei für die vertrauende Seite aus, z. B. B2C_1A_signup_signin.
6. Wählen Sie für Anwendung eine Webanwendung aus, die Sie zuvor registriert haben. Als Antwort-URL sollte https://jwt.ms angezeigt werden.
7. Wählen Sie die Schaltfläche Jetzt ausführen aus.
8. Wählen Sie auf der Registrierungs- oder Anmeldeseite die Option Contoso AD FS aus, um sich mit dem AD FS-Identitätsanbieter für „Contoso“ anzumelden.

Wenn der Anmeldevorgang erfolgreich verlaufen ist, wird der Browser an https://jwt.ms umgeleitet und dadurch der Inhalt des von Azure AD B2C zurückgegebenen Tokens angezeigt.

Problembehandlung bei AD FS

AD FS ist für die Nutzung des Anwendungsprotokolls von Windows konfiguriert. Wenn Sie Probleme beim Einrichten von AD FS als SAML-Identitätsanbieter mithilfe benutzerdefinierter Richtlinien in Azure AD B2C haben, können Sie das AD FS-Ereignisprotokoll überprüfen:

1. Geben Sie in die Suchleiste unter Windows Ereignisanzeige ein, und wählen Sie anschließend die Desktop-App Ereignisanzeige aus.
2. Um das Protokoll eines anderen Computers anzuzeigen, klicken Sie mit der rechten Maustaste auf Ereignisanzeige (lokal) . Wählen Sie Verbindung mit anderem Computer herstellen aus, und füllen Sie die Felder aus, um die Bearbeitung des Dialogfelds Computer auswählen abzuschließen.
3. Öffnen Sie in der Ereignisanzeige das Anwendungs- und Dienstprotokoll.
4. Wählen Sie AD FS und dann Verwaltung aus.
5. Um weitere Informationen zu einem bestimmten Ereignis anzuzeigen, doppelklicken Sie auf dieses Ereignis.

Die SAML-Anforderung ist nicht mit dem erwarteten Signaturalgorithmusereignis signiert

Dieser Fehler bedeutet, dass die von Azure AD B2C gesendete SAML-Anforderung nicht mit dem erwarteten Signaturalgorithmus signiert ist, der in AD FS konfiguriert ist. Beispielsweise wird die SAML-Anforderung mit dem Signaturalgorithmus rsa-sha256 signiert, wobei jedoch rsa-sha1 der erwartete Signaturalgorithmus ist. Um dieses Problem zu beheben, stellen Sie sicher, dass sowohl Azure AD B2C als auch AD FS mit dem gleichen Signaturalgorithmus konfiguriert sind.

Option 1: Festlegen des Signaturalgorithmus in Azure AD B2C

Sie können konfigurieren, wie die SAML-Anforderung in Azure AD B2C signiert werden soll. Die Metadaten von XmlSignatureAlgorithm bestimmen in der SAML-Anforderung den Wert des Parameters SigAlg (Abfragezeichenfolge oder POST-Parameter). Im folgenden Beispiel wird Azure AD B2C für den Signaturalgorithmus rsa-sha256 konfiguriert.

<Metadata>
  <Item Key="WantsEncryptedAssertions">false</Item>
  <Item Key="PartnerEntity">https://your-AD-FS-domain/federationmetadata/2007-06/federationmetadata.xml</Item>
  <Item Key="XmlSignatureAlgorithm">Sha256</Item>
</Metadata>

Option 2: Festlegen des Signaturalgorithmus in AD FS

Alternativ können Sie den erwarteten SAML-Anforderungssignaturalgorithmus in AD FS konfigurieren.

1. Wählen Sie im Server-Manager Tools und dann AD FS-Verwaltung aus.
2. Wählen Sie die Vertrauensstellung der vertrauenden Seite aus, die Sie zuvor erstellt haben.
3. Wählen Sie Eigenschaften und dann Erweitert aus.
4. Konfigurieren Sie Sicherer Hashalgorithmus, und wählen Sie OK aus, um die Änderungen zu speichern.

Die Anforderung zur HTTP-Umleitung enthält nicht den erforderlichen Parameter "Signature" für eine signierte Anforderung. (AADB2C90168)

Option 1: Festlegen von „ResponsesSigned“ in Azure AD B2C auf „false“

Sie können die Anforderung einer signierten Nachricht in Azure AD B2C deaktivieren. Im folgenden Beispiel wird Azure AD B2C so konfiguriert, dass der Parameter „Signature“ für die signierte Anforderung nicht erforderlich ist.

<Metadata>
  <Item Key="WantsEncryptedAssertions">false</Item>
  <Item Key="PartnerEntity">https://your-AD-FS-domain/federationmetadata/2007-06/federationmetadata.xml</Item>
  <Item Key="ResponsesSigned">false</Item>
</Metadata>

Option 2: Festlegen der vertrauenden Seite in AD FS zum Signieren von Nachricht und Assertion

Alternativ können Sie die vertrauende Seite wie unten beschrieben in AD FS konfigurieren:

1. Öffnen Sie PowerShell als Administrator*in, und führen Sie das Cmdlet Set-AdfsRelyingPartyTrust -TargetName <RP Name> -SamlResponseSignature MessageAndAssertion aus, um die Nachricht und die Assertion zu signieren.
2. Führen Sie Set-AdfsRelyingPartyTrust -TargetName <RP Name> aus, und vergewissern Sie sich, dass die Eigenschaft SamlResponseSignature auf MessageAndAssertion festgelegt ist.