Műszaki profil definiálása SAML-tokenkibocsátóhoz egyéni Azure Active Directory B2C-szabályzatban
Megjegyzés
Az Azure Active Directory B2C-ben az egyéni szabályzatok elsősorban összetett forgatókönyvek kezelésére szolgálnak. A legtöbb esetben javasoljuk, hogy beépített felhasználói folyamatokat használjon. Ha még nem tette meg, az egyéni szabályzatok kezdőcsomagjáról az Ismerkedés az egyéni szabályzatokkal az Active Directory B2C-ben című témakörben olvashat.
Az Azure Active Directory B2C (Azure AD B2C) számos típusú biztonsági jogkivonatot bocsát ki az egyes hitelesítési folyamatok során. Az SAML-tokenkibocsátó műszaki profilja egy SAML-jogkivonatot bocsát ki, amelyet a rendszer visszaküld a függő entitásalkalmazásnak (szolgáltatónak). Ez a technikai profil általában a felhasználói folyamat utolsó vezénylési lépése.
Protokoll
A Protocol elem Name attribútumát értékre kell állítaniSAML2. Állítsa az OutputTokenFormat elemet értékre SAML2.
Az alábbi példa egy technikai profilt mutat be a következőhöz Saml2AssertionIssuer:
<TechnicalProfile Id="Saml2AssertionIssuer">
<DisplayName>Token Issuer</DisplayName>
<Protocol Name="SAML2"/>
<OutputTokenFormat>SAML2</OutputTokenFormat>
<Metadata>
<Item Key="IssuerUri">https://tenant-name.b2clogin.com/tenant-name.onmicrosoft.com/B2C_1A_signup_signin_SAML</Item>
<Item Key="TokenNotBeforeSkewInSeconds">600</Item>
</Metadata>
<CryptographicKeys>
<Key Id="MetadataSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
<Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
</CryptographicKeys>
<InputClaims/>
<OutputClaims/>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-issuer"/>
</TechnicalProfile>
Jogcímek bemenete, kimenete és megőrzése
Az InputClaims, az OutputClaims és a PersistClaims elemek üresek vagy hiányoznak. Az InutputClaimsTransformations és az OutputClaimsTransformations elemek szintén hiányoznak .
Metaadatok
| Attribútum | Kötelező | Leírás |
|---|---|---|
| Kiállítóiuri | Nem | Az SAML-válaszban megjelenő kiállító neve. Az értéknek meg kell egyeznie a függő entitásalkalmazásban konfigurált névvel. |
| XmlSignatureAlgorithm | Nem | A B2C Azure AD metódussal írja alá az SAML-helyességi feltételt. Lehetséges értékek: Sha256, Sha384, Sha512vagy Sha1. Győződjön meg arról, hogy mindkét oldalon ugyanazzal az értékkel konfigurálja az aláírási algoritmust. Csak a tanúsítvány által támogatott algoritmust használja. Az SAML-válasz konfigurálásához lásd: SAML-alkalmazás regisztrálásának beállításai |
| TokenNotBeforeSkewInSeconds | Nem | Az érvényességi időszak kezdetét jelző időbélyeg egész számként megadott ferdeségét adja meg. Minél magasabb ez a szám, annál tovább kezdődik az érvényességi időszak a függő entitásra vonatkozó jogcímek kiállításának időpontjával. Ha például a TokenNotBeforeSkewInSeconds érték 60 másodpercre van állítva, ha a jogkivonat kiállítása 13:05:10 (UTC) időpontban történik, a token 13:04:10 UTC-től érvényes. Az alapértelmezett érték a 0. A maximális érték 3600 (egy óra). |
| TokenLifeTimeInSeconds | Nem | Az SAML-helyességi feltétel élettartamát adja meg. Ez az érték másodpercben van megadva a fent hivatkozott NotBefore értéktől. Az alapértelmezett érték 300 másodperc (5 perc). |
Titkosítási kulcsok
A CryptographicKeys elem a következő attribútumokat tartalmazza:
| Attribútum | Kötelező | Leírás |
|---|---|---|
| MetadataSigning | Igen | Az X509-tanúsítvány (RSA-kulcskészlet) az SAML-metaadatok aláírásához. Azure AD B2C ezt a kulcsot használja a metaadatok aláírásához. |
| SamlMessageSigning | Igen | Adja meg az SAML-üzenetek aláírásához használni kívánt X509-tanúsítványt (RSA-kulcskészletet). Azure AD B2C ezt a kulcsot használja a függő entitásnak küldött válasz <samlp:Response> aláírásához. |
| SamlAssertionSigning | Nem | Adja meg az X509-tanúsítványt (RSA-kulcskészletet) az SAML-jogkivonat SAML helyességi <saml:Assertion> elemének aláírásához. Ha nincs megadva, a SamlMessageSigning titkosítási kulcsot használja a rendszer. |
Munkamenet-kezelés
Ha konfigurálni szeretné a Azure AD B2C SAML-munkameneteket egy függő entitásalkalmazás között, az elem attribútuma hivatkozzon a UseTechnicalProfileForSessionManagementSamlSSOSessionProvider SSO-munkamenetre.
Következő lépések
Az SAML-kiállító technikai profiljának használatát a következő cikkben találja: