Definición de un perfil técnico para un emisor de tokens JWT en una directiva personalizada de Azure Active Directory B2C
Nota:
En Azure Active Directory B2C, las directivas personalizadas se han diseñado principalmente para abordar escenarios complejos. Para la mayoría de los escenarios, se recomienda usar flujos de usuario integrados. Si no lo ha hecho, obtenga información sobre el paquete de inicio de directivas personalizadas en Introducción a las directivas personalizadas en Active Directory B2C.
Azure Active Directory B2C (Azure AD B2C) emite varios tipos de tokens de seguridad a medida que procesa cada flujo de autenticación. Un perfil técnico de un emisor de tokens de JWT emite un token de JWT que se devuelve a la aplicación de usuario de confianza. Este perfil técnico suele ser el último paso de orquestación en el recorrido del usuario.
Protocolo
El atributo Name del elemento Protocol tiene que establecerse en OpenIdConnect. Establezca el elemento OutputTokenFormat en JWT.
En el ejemplo siguiente se muestra un perfil técnico de JwtIssuer:
<TechnicalProfile Id="JwtIssuer">
<DisplayName>JWT Issuer</DisplayName>
<Protocol Name="OpenIdConnect" />
<OutputTokenFormat>JWT</OutputTokenFormat>
<Metadata>
<Item Key="client_id">{service:te}</Item>
<Item Key="issuer_refresh_token_user_identity_claim_type">objectId</Item>
<Item Key="SendTokenResponseBodyWithJsonNumbers">true</Item>
</Metadata>
<CryptographicKeys>
<Key Id="issuer_secret" StorageReferenceId="B2C_1A_TokenSigningKeyContainer" />
<Key Id="issuer_refresh_token_key" StorageReferenceId="B2C_1A_TokenEncryptionKeyContainer" />
</CryptographicKeys>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-jwt-issuer" />
</TechnicalProfile>
Notificaciones de entrada, de salida y persistentes
Los elementos InputClaims, OutputClaims y PersistClaims están vacíos o faltan. Los elementos InutputClaimsTransformations y OutputClaimsTransformations faltan también.
Metadatos
| Atributo | Obligatorio | Descripción |
|---|---|---|
| issuer_refresh_token_user_identity_claim_type | Sí | La notificación que se debe usar como identidad del usuario en los tokens de actualización y los códigos de autorización de OAuth2. De forma predeterminada, se debe establecer en objectId, a menos que especifique un tipo de notificación SubjectNamingInfo diferente. |
| SendTokenResponseBodyWithJsonNumbers | No | Siempre se establece en true. En el caso de formatos heredados en que los valores numéricos se indiquen como cadenas en lugar de números JSON, establézcalo en false. Este atributo es necesario para los clientes que han tenido una dependencia de una implementación anterior que devolvía tales propiedades como cadenas. |
| token_lifetime_secs | No | Vigencia del token de acceso. La duración del token de portador de OAuth 2.0 se ha usado para obtener acceso a un recurso protegido. El valor predeterminado es 3600 segundos (1 hora). El mínimo (incluido) es de 300 segundos (5 minutos). El máximo (incluido) es de 86 400 segundos (24 horas). |
| id_token_lifetime_secs | No | Vigencia del token de identificador. El valor predeterminado es 3600 segundos (1 hora). El mínimo (incluido) es de 300 segundos (5 minutos). El máximo (incluido) es de 86 400 segundos (24 horas). |
| refresh_token_lifetime_secs | No | Vigencia del token de actualización. El período máximo en que un token de actualización se puede utilizar para adquirir un nuevo token de acceso, si se hubiera concedido el ámbito offline_access a la aplicación. El valor predeterminado es 1 209 600 segundos (14 días). El mínimo (incluido) es de 86 400 segundos (24 horas). El máximo (incluido) es de 7 776 000 segundos (90 días). |
| rolling_refresh_token_lifetime_secs | No | Vigencia de la ventana deslizante del token de actualización. Una vez que haya transcurrido este período de tiempo, el usuario está obligado a volver a autenticarse, independientemente del período de validez del token de actualización más reciente que haya adquirido la aplicación. Si no desea aplicar una duración de ventana deslizante, establezca el valor de allow_infinite_rolling_refresh_token en true. El valor predeterminado es 7 776 000 segundos (90 días). El mínimo (incluido) es de 86 400 segundos (24 horas). El máximo (incluido) es de 31 536 000 segundos (365 días). |
| allow_infinite_rolling_refresh_token | No | Si se establece en true, la vigencia de la ventana deslizante del token de actualización es permanente. |
| IssuanceClaimPattern | No | Controla la notificación del emisor (iss). Uno de los valores:
|
| AuthenticationContextReferenceClaimPattern | No | Controla el valor de notificación acr.
<Item> con Key="AuthenticationContextReferenceClaimPattern" y el valor es None. En la directiva de usuario de confianza, agregue el elemento <OutputClaims> y <OutputClaim ClaimTypeReferenceId="trustFrameworkPolicy" Required="true" DefaultValue="{policy}" PartnerClaimType="tfp"/>. También asegúrese de que la directiva contiene el tipo de notificación <ClaimType Id="trustFrameworkPolicy"> <DisplayName>trustFrameworkPolicy</DisplayName> <DataType>string</DataType> </ClaimType>. |
| RefreshTokenUserJourneyId | No | El identificador de un recorrido del usuario que se debe ejecutar durante la solicitud POST de actualización de un token de acceso en el punto de conexión /token. |
Claves de cifrado
El elemento CryptographicKeys contiene los siguientes atributos:
| Atributo | Obligatorio | Descripción |
|---|---|---|
| issuer_secret | Sí | El certificado X509 (conjunto de claves RSA) que se va a usar para firmar el token JWT. Esta es la clave B2C_1A_TokenSigningKeyContainer configurada en Introducción a las directivas personalizadas. |
| issuer_refresh_token_key | Sí | El certificado X509 (conjunto de claves RSA) que se va a usar para cifrar el token de actualización. Ha configurado la clave B2C_1A_TokenEncryptionKeyContainer en Introducción a las directivas personalizadas. |
Administración de sesiones
Para configurar las sesiones de Azure AD B2C entre Azure AD B2C y una aplicación de usuario de confianza, en el atributo del elemento UseTechnicalProfileForSessionManagement, agregue una referencia a la sesión de inicio de sesión único OAuthSSOSessionProvider.