RelyingParty
Nota:
En Azure Active Directory B2C, las directivas personalizadas se han diseñado principalmente para abordar escenarios complejos. Para la mayoría de los escenarios, se recomienda usar flujos de usuario integrados. Si no lo ha hecho, obtenga información sobre el paquete de inicio de directivas personalizadas en Introducción a las directivas personalizadas en Active Directory B2C.
El elemento RelyingParty especifica el recorrido del usuario para ejecutar la solicitud actual en Azure Active Directory B2C (Azure AD B2C). También se especifica la lista de notificaciones que la aplicación del usuario de confianza necesita como parte del token emitido. Una aplicación del usuario de confianza, como una aplicación web, de escritorio o para dispositivos móviles, llama al archivo de la directiva del usuario de confianza. El archivo de directiva de usuario de confianza ejecuta una tarea específica, como iniciar sesión, restablecer una contraseña o editar un perfil. Hay varias aplicaciones que pueden usar la misma directiva del usuario de confianza y una sola aplicación puede usar varias directivas. Todas las aplicaciones de usuario de confianza reciben el mismo token con notificaciones y el usuario sigue el mismo recorrido del usuario.
En el ejemplo siguiente se muestra un elemento RelyingParty en el archivo de directiva B2C_1A_signup_signin:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<TrustFrameworkPolicy
xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="https://www.w3.org/2001/XMLSchema"
xmlns="http://schemas.microsoft.com/online/cpim/schemas/2013/06"
PolicySchemaVersion="0.3.0.0"
TenantId="your-tenant.onmicrosoft.com"
PolicyId="B2C_1A_signup_signin"
PublicPolicyUri="http://your-tenant.onmicrosoft.com/B2C_1A_signup_signin">
<BasePolicy>
<TenantId>your-tenant.onmicrosoft.com</TenantId>
<PolicyId>B2C_1A_TrustFrameworkExtensions</PolicyId>
</BasePolicy>
<RelyingParty>
<DefaultUserJourney ReferenceId="SignUpOrSignIn" />
<UserJourneyBehaviors>
<SingleSignOn Scope="Tenant" KeepAliveInDays="7"/>
<SessionExpiryType>Rolling</SessionExpiryType>
<SessionExpiryInSeconds>900</SessionExpiryInSeconds>
<JourneyInsights TelemetryEngine="ApplicationInsights" InstrumentationKey="your-application-insights-key" DeveloperMode="true" ClientEnabled="false" ServerEnabled="true" TelemetryVersion="1.0.0" />
<ContentDefinitionParameters>
<Parameter Name="campaignId">{OAUTH-KV:campaignId}</Parameter>
</ContentDefinitionParameters>
</UserJourneyBehaviors>
<TechnicalProfile Id="PolicyProfile">
<DisplayName>PolicyProfile</DisplayName>
<Description>The policy profile</Description>
<Protocol Name="OpenIdConnect" />
<Metadata>collection of key/value pairs of data</Metadata>
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="displayName" />
<OutputClaim ClaimTypeReferenceId="givenName" />
<OutputClaim ClaimTypeReferenceId="surname" />
<OutputClaim ClaimTypeReferenceId="email" />
<OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
<OutputClaim ClaimTypeReferenceId="identityProvider" />
<OutputClaim ClaimTypeReferenceId="loyaltyNumber" />
</OutputClaims>
<SubjectNamingInfo ClaimType="sub" />
</TechnicalProfile>
</RelyingParty>
...
El elemento RelyingParty opcional contiene los siguientes elementos:
Elemento | Repeticiones | Descripción |
---|---|---|
DefaultUserJourney | 1:1 | El recorrido del usuario predeterminado para la aplicación de usuario de confianza. |
Puntos de conexión | 0:1 | Una lista de puntos de conexión. Para más información, consulte Punto de conexión de UserInfo. |
UserJourneyBehaviors | 0:1 | El ámbito de los comportamientos del recorrido del usuario. |
TechnicalProfile | 1:1 | Un perfil técnico que es compatible con la aplicación del usuario de confianza. El perfil técnico proporciona un contrato para que la aplicación del usuario de confianza contacte con Azure AD B2C. |
Debe crear los elementos secundarios de RelyingParty en el orden presentado en la tabla anterior.
Puntos de conexión
El elemento Puntos de conexión contiene el elemento siguiente:
Elemento | Repeticiones | Descripción |
---|---|---|
Punto de conexión | 1:1 | Una referencia a un punto de conexión. |
El elemento Punto de conexión contiene los atributos siguientes:
Atributo | Obligatorio | Descripción |
---|---|---|
Identificador | Sí | Un identificador único del punto de conexión. |
UserJourneyReferenceId | Sí | Identificador del recorrido del usuario en la directiva. Para más información, consulte los recorridos del usuario. |
En el ejemplo siguiente se muestra un usuario de confianza con el punto de conexión de UserInfo:
<RelyingParty>
<DefaultUserJourney ReferenceId="SignUpOrSignIn" />
<Endpoints>
<Endpoint Id="UserInfo" UserJourneyReferenceId="UserInfoJourney" />
</Endpoints>
...
DefaultUserJourney
El elemento DefaultUserJourney
especifica una referencia al identificador del recorrido del usuario que se define en la directiva Base o Extensions. En los ejemplos siguientes se muestra el recorrido del usuario para registrarse o iniciar sesión que se especifica en el elemento RelyingParty:
Directiva de B2C_1A_signup_signin:
<RelyingParty>
<DefaultUserJourney ReferenceId="SignUpOrSignIn">
...
B2C_1A_TrustFrameWorkBase o B2C_1A_TrustFrameworkExtensionPolicy:
<UserJourneys>
<UserJourney Id="SignUpOrSignIn">
...
El elemento DefaultUserJourney contiene el siguiente atributo:
Atributo | Obligatorio | Descripción |
---|---|---|
ReferenceId | Sí | Identificador del recorrido del usuario en la directiva. Para más información, consulte los recorridos del usuario. |
UserJourneyBehaviors
El elemento UserJourneyBehaviors contiene los siguientes elementos:
Elemento | Repeticiones | Descripción |
---|---|---|
SingleSignOn | 0:1 | Ámbito del comportamiento de sesión de inicio de sesión único (SSO) de un recorrido del usuario. |
SessionExpiryType | 0:1 | El comportamiento de autenticación de la sesión. Valores posibles: Rolling o Absolute . El valor (predeterminado) Rolling indica que el usuario permanece conectado siempre y cuando el usuario esté activo en la aplicación. El valor Absolute indica que el usuario está obligado a autenticarse de nuevo tras el período de tiempo especificado por la duración de sesión de la aplicación. |
SessionExpiryInSeconds | 0:1 | La duración de la cookie de la sesión de Azure AD B2C especificada como un entero se ha almacenado en el explorador del usuario tras la autenticación correcta. El valor predeterminado es 86 400 segundos (24 horas). El mínimo es 900 segundos (15 minutos). El máximo es 86 400 segundos (24 horas). |
JourneyInsights | 0:1 | La clave de instrumentación de Application Insights de Azure que se va a usar. |
ContentDefinitionParameters | 0:1 | La lista de pares clave-valor que se anexará a la URI de carga de la definición de contenido. |
JourneyFraming | 0:1 | Permite que la interfaz de usuario de esta directiva se cargue en un iframe. |
ScriptExecution | 0:1 | Modos de ejecución de JavaScript admitidos. Valores posibles: Allow o Disallow (valor predeterminado). |
Al usar los elementos anteriores, debe agregarlos al elemento UserJourneyBehaviors en el orden que se especifica en la tabla. Por ejemplo, el elemento JourneyInsights debe agregarse antes (encima) del elemento ScriptExecution.
SingleSignOn
El elemento SingleSignOn contiene los atributos siguientes:
Atributo | Obligatorio | Descripción |
---|---|---|
Ámbito | Sí | El ámbito del comportamiento de inicio de sesión único. Valores posibles: Suppressed , Tenant , Application o Policy . El valor Suppressed indica que el comportamiento se suprime y siempre se solicita al usuario una selección del proveedor de identidades. El valor Tenant indica que el comportamiento se aplica a todas las directivas del inquilino. Por ejemplo, a un usuario que sigue dos recorridos de directiva para un inquilino no se le solicita que seleccione el proveedor de identidades. El valor Application indica que el comportamiento se aplica a todas las directivas de la aplicación que hace la solicitud. Por ejemplo, a un usuario que sigue dos recorridos de directiva para una aplicación no se le solicita que seleccione el proveedor de identidades. El valor Policy indica que el comportamiento solo se aplica a una directiva. Por ejemplo, a un usuario que sigue dos recorridos de directiva para un marco de confianza se le solicita que seleccione el proveedor de identidades al cambiar de una directiva a otra. |
KeepAliveInDays | No | Controla cuánto tiempo permanece el usuario con la sesión iniciada. Si se establece el valor en 0, se desactiva la funcionalidad KMSI. El valor predeterminado es 0 (deshabilitado). El mínimo es 1 día. El máximo es 90 días. Para más información, consulte Mantener la sesión iniciada. |
EnforceIdTokenHintOnLogout | No | Haga que un token de id. emitido previamente se pase al punto de conexión de cierre de sesión como una sugerencia sobre la sesión autenticada actual del usuario final con el cliente. Valores posibles: false (opción predeterminada) o true . Para más información, consulte Inicio de sesión web con OpenID Connect. |
JourneyInsights
El elemento JourneyInsights contiene los siguientes atributos:
Atributo | Obligatorio | Descripción |
---|---|---|
TelemetryEngine | Sí | El valor tiene que ser ApplicationInsights . |
InstrumentationKey | Sí | Cadena que contiene la clave de instrumentación para el elemento de Application Insights. |
DeveloperMode | Sí | Valores posibles: true o false . Si es true , Application Insights acelera la telemetría a través de la canalización de procesamiento. Este valor es bueno para el desarrollo, pero está restringido en volúmenes elevados. Los registros de actividad descritos aquí están diseñados solo para ayudar en el desarrollo de directivas personalizadas. No use el modo de desarrollo en producción. Los registros recopilan todas las notificaciones que se envían y se reciben de los proveedores de identidad durante el desarrollo. Si se utilizan en producción, el programador asume la responsabilidad de la información personal recopilada en el registro de Application Insights que le pertenece. Estos registros detallados solo se recopilan cuando este valor se establece en true . |
ClientEnabled | Sí | Valores posibles: true o false . Si es true , se envía el script del lado cliente ApplicationInsights para realizar un seguimiento de la vista de página y de los errores del lado cliente. |
ServerEnabled | Sí | Valores posibles: true o false . Si es true , se envía el JSON UserJourneyRecorder existente como evento personalizado a Application Insights. |
TelemetryVersion | Sí | El valor tiene que ser 1.0.0 . |
Para obtener más información, vea Recopilación de registros.
ContentDefinitionParameters
Mediante el uso de las directivas de Azure AD B2C, puede enviar un parámetro en una cadena de consulta. Al pasar dicho parámetro al punto de conexión HTML, puede cambiar de forma dinámica el contenido de la página. Por ejemplo, puede cambiar la imagen de fondo en la página de inicio de sesión o de registro de Azure AD B2C en función de un parámetro que se pasa desde la aplicación web o dispositivo móvil. Azure AD B2C pasa los parámetros de la cadena de consulta al archivo HTML dinámico, como un archivo .aspx.
En el ejemplo siguiente se pasa un parámetro denominado campaignId
con un valor de hawaii
en la cadena de consulta:
https://login.microsoft.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?pB2C_1A_signup_signin&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=http%3A%2F%2Fjwt.io%2F&scope=openid&response_type=id_token&prompt=login&campaignId=hawaii
El elemento ContentDefinitionParameters contiene el elemento siguiente:
Elemento | Repeticiones | Descripción |
---|---|---|
ContentDefinitionParameter | 0:n | Una cadena que contiene el par clave-valor que se anexa a la cadena de consulta de un URI de carga de definición de contenido. |
El elemento ContentDefinitionParameter contiene el atributo siguiente:
Atributo | Obligatorio | Descripción |
---|---|---|
Nombre | Sí | El nombre del par clave-valor. |
Para obtener más información, vea Configuración de la interfaz de usuario con contenido dinámico usando directivas personalizadas.
JourneyFraming
El elemento JourneyFraming contiene los siguientes atributos:
Atributo | Obligatorio | Descripción |
---|---|---|
habilitado | Sí | Habilita esta directiva para que se cargue en un iframe. Valores posibles: false (opción predeterminada) o true . |
Orígenes | Sí | Contiene los dominios que cargarán el iframe. Para más información, consulte cómo cargar Azure B2C en un iframe. |
TechnicalProfile
El elemento TechnicalProfile contiene el atributo siguiente:
Atributo | Obligatorio | Descripción |
---|---|---|
Identificador | Sí | El valor tiene que ser PolicyProfile . |
El elemento TechnicalProfile contiene los elementos siguientes:
Elemento | Repeticiones | Descripción |
---|---|---|
DisplayName | 1:1 | La cadena que contiene el nombre del perfil técnico. |
Descripción | 0:1 | La cadena que contiene la descripción del perfil técnico. |
Protocolo | 1:1 | Protocolo usado para la federación. |
Metadatos | 0:1 | La colección de Item de los pares clave-valor usados por el protocolo para comunicarse con el punto de conexión en el transcurso de una transacción para configurar la interacción entre el usuario de confianza y otros participantes de la comunidad. |
InputClaims | 1:1 | Una lista de tipos de notificación que se toman como entrada en el perfil técnico. Cada uno de estos elementos contiene la referencia a un ClaimType ya definido en la sección ClaimsSchema o en una directiva de la que este archivo de directiva es heredero. |
OutputClaims | 1:1 | Una lista de tipos de notificación que se consideran el resultado del perfil técnico. Cada uno de estos elementos contiene la referencia a un ClaimType ya definido en la sección ClaimsSchema o en una directiva de la que este archivo de directiva es heredero. |
SubjectNamingInfo | 1:1 | El nombre del sujeto usado en los tokens. |
El elemento Protocol contiene el siguiente atributo:
Atributo | Obligatorio | Descripción |
---|---|---|
Nombre | Sí | El nombre de un protocolo válido admitido por Azure AD B2C que se usará como parte del perfil técnico. Valores posibles: OpenIdConnect o SAML2 . El valor OpenIdConnect representa el estándar del protocolo OpenID Connect 1.0 según la especificación de la fundación de OpenID. SAML2 representa el estándar del protocolo SAML 2.0 según la especificación de OASIS. |
Metadatos
Cuando el protocolo es SAML
, un elemento de metadatos contiene los siguientes elementos. Para obtener más información, consulte Opciones para registrar una aplicación SAML en Azure AD B2C.
Atributo | Obligatorio | Descripción |
---|---|---|
IdpInitiatedProfileEnabled | No | Indica si se admite el flujo iniciado por IDP. Valores posibles: true o false (valor predeterminado). |
XmlSignatureAlgorithm | No | El método que Azure AD B2C usa para firmar la respuesta SAML. Valores posibles: Sha256 , Sha384 , Sha512 o Sha1 . Asegúrese de configurar el algoritmo de firma en ambos lados con el mismo valor. Use solo el algoritmo que admite el certificado. Para configurar la aserción de SAML, consulte los metadatos de perfil técnico del emisor de SAML. |
DataEncryptionMethod | No | Indica el método que usa Azure AD B2C para cifrar los datos, mediante el algoritmo de Estándar de cifrado avanzado (AES). Los metadatos controlan el valor del elemento <EncryptedData> en la respuesta de SAML. Valores posibles: Aes256 (predeterminado), Aes192 , Sha512 o Aes128 . |
KeyEncryptionMethod | No | Indica el método que usa Azure AD B2C para cifrar la copia de la clave que se usó para cifrar los datos. Los metadatos controlan el valor del elemento <EncryptedKey> en la respuesta de SAML. Valores posibles: Rsa15 (predeterminado): algoritmo Public Key Cryptography Standard (PKCS), versión 1.5, RsaOaep : algoritmo de cifrado Optimal Asymmetric Encryption Padding (OAEP) de RSA. |
UseDetachedKeys | No | Valores posibles: true o false (valor predeterminado). Cuando el valor se establece en true , Azure AD B2C cambia el formato de las aserciones cifradas. El uso de claves desasociadas agrega la aserción cifrada como un elemento secundario de EncrytedAssertion, por oposición a EncryptedData. |
WantsSignedResponses | No | Indica si Azure AD B2C firma la sección Response de la respuesta SAML. Valores posibles: true (predeterminado) o false . |
RemoveMillisecondsFromDateTime | No | Indica si se quitarán los milisegundos de los valores datetime de la respuesta SAML (es decir, de IssueInstant, NotBefore, NotOnOrAfter y AuthnInstant). Valores posibles: false (predeterminado) o true . |
RequestContextMaximumLengthInBytes | No | Indica la longitud máxima del parámetro de aplicaciones SAML RelayState . El valor predeterminado es 1000. El valor máximo es 2048. |
InputClaims
El elemento InputClaims contiene el elemento siguiente:
Elemento | Repeticiones | Descripción |
---|---|---|
InputClaim | 0:n | Un tipo de notificación de entrada esperado. |
El elemento InputClaim contiene los atributos siguientes:
Atributo | Obligatorio | Descripción |
---|---|---|
ClaimTypeReferenceId | Sí | Una referencia a un ClaimType ya definido en la sección ClaimsSchema del archivo de directiva. |
DefaultValue | No | Un valor predeterminado que se puede usar si el valor de notificación está vacío. |
PartnerClaimType | No | Envía la notificación con un nombre distinto al configurado en la definición de ClaimType. |
OutputClaims
El elemento OutputClaims contiene el elemento siguiente:
Elemento | Repeticiones | Descripción |
---|---|---|
OutputClaim | 0:n | El nombre de un tipo de notificación esperado en la lista admitida para la directiva en la que se suscribe el usuario de confianza. Esta notificación actúa como un resultado del perfil técnico. |
El elemento OutputClaim contiene los atributos siguientes:
Atributo | Obligatorio | Descripción |
---|---|---|
ClaimTypeReferenceId | Sí | Una referencia a un ClaimType ya definido en la sección ClaimsSchema del archivo de directiva. |
DefaultValue | No | Un valor predeterminado que se puede usar si el valor de notificación está vacío. |
PartnerClaimType | No | Envía la notificación con un nombre distinto al configurado en la definición de ClaimType. |
SubjectNamingInfo
Con el elemento SubjectNamingInfo , se controla el valor del firmante del token:
- Token JTW: la notificación
sub
. Esta es la entidad de seguridad sobre la que el token declara información como, por ejemplo, el usuario de una aplicación. Este valor es inmutable y no se puede reasignar ni volver a usar. Se puede usar para realizar comprobaciones de autorización de forma segura, por ejemplo, cuando el token se usa para acceder a un recurso. De manera predeterminada, la notificación del asunto se rellena con el identificador de objeto del usuario del directorio. Para obtener más información, vea Configuración de token, sesión e inicio de sesión único. - Token SAML: el elemento
<Subject><NameID>
, que identifica el elemento del asunto. Se puede modificar el formato de NameId.
El elemento SubjectNamingInfo contiene el siguiente atributo:
Atributo | Obligatorio | Descripción |
---|---|---|
ClaimType | Sí | Una referencia a un PartnerClaimType de una notificación de salida. La notificación de salida debe definirse en la colección OutputClaims de la directiva de usuario de confianza mediante el uso de un elemento PartnerClaimType. Por ejemplo, <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub" /> o <OutputClaim ClaimTypeReferenceId="signInName" PartnerClaimType="signInName" /> . |
Formato | No | Se usa para que los usuarios de confianza de SAML establezcan el formato de NameId devuelto en la aserción de SAML. |
En el ejemplo siguiente se muestra cómo definir un usuario de confianza de OpenID Connect. La información sobre el nombre del asunto se configura como objectId
:
<RelyingParty>
<DefaultUserJourney ReferenceId="SignUpOrSignIn" />
<TechnicalProfile Id="PolicyProfile">
<DisplayName>PolicyProfile</DisplayName>
<Protocol Name="OpenIdConnect" />
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="displayName" />
<OutputClaim ClaimTypeReferenceId="givenName" />
<OutputClaim ClaimTypeReferenceId="surname" />
<OutputClaim ClaimTypeReferenceId="email" />
<OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
<OutputClaim ClaimTypeReferenceId="identityProvider" />
</OutputClaims>
<SubjectNamingInfo ClaimType="sub" />
</TechnicalProfile>
</RelyingParty>
El token JWT incluye la notificación sub
con el objectId del usuario:
{
...
"sub": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
...
}
En el ejemplo siguiente se muestra cómo definir un usuario de confianza de SAML. La información del nombre de sujeto se ha configurado como objectId
y se ha proporcionado el NameId format
:
<RelyingParty>
<DefaultUserJourney ReferenceId="SignUpOrSignIn" />
<TechnicalProfile Id="PolicyProfile">
<DisplayName>PolicyProfile</DisplayName>
<Protocol Name="SAML2" />
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="displayName" />
<OutputClaim ClaimTypeReferenceId="givenName" />
<OutputClaim ClaimTypeReferenceId="surname" />
<OutputClaim ClaimTypeReferenceId="email" />
<OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
<OutputClaim ClaimTypeReferenceId="identityProvider" />
</OutputClaims>
<SubjectNamingInfo ClaimType="sub" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"/>
</TechnicalProfile>
</RelyingParty>