Bagikan melalui


RelyingParty

Catatan

Di Azure Active Directory B2C, kebijakan kustom didesain khusus untuk menangani skenario kompleks. Untuk skenario umum, sebaiknya gunakan alur pengguna bawaan. Jika Anda belum melakukannya, pelajari tentang paket starter kebijakan kustom di Mulai dengan kebijakan kustom di Azure Active Directory B2C.

Elemen RelyingParty menentukan perjalanan pengguna untuk memberlakukan permintaan saat ini ke Azure Active Directory B2C (Azure AD B2C). Ini juga menentukan daftar klaim yang dibutuhkan aplikasi relying party (RP) sebagai bagian dari token yang dikeluarkan. Aplikasi RP, seperti aplikasi web, seluler, atau desktop, memanggil file kebijakan RP. File kebijakan RP menjalankan tugas tertentu, seperti rincian masuk, mereset kata sandi, atau mengedit profil. Beberapa aplikasi dapat menggunakan kebijakan RP yang sama dan satu aplikasi dapat menggunakan beberapa kebijakan. Semua aplikasi RP menerima token yang sama dengan klaim, dan pengguna melalui perjalanan pengguna yang sama.

Contoh berikut menunjukkan elemen RelyingParty dalam file kebijakan B2C_1A_signup_signin:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<TrustFrameworkPolicy
  xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance"
  xmlns:xsd="https://www.w3.org/2001/XMLSchema"
  xmlns="http://schemas.microsoft.com/online/cpim/schemas/2013/06"
  PolicySchemaVersion="0.3.0.0"
  TenantId="your-tenant.onmicrosoft.com"
  PolicyId="B2C_1A_signup_signin"
  PublicPolicyUri="http://your-tenant.onmicrosoft.com/B2C_1A_signup_signin">

  <BasePolicy>
    <TenantId>your-tenant.onmicrosoft.com</TenantId>
    <PolicyId>B2C_1A_TrustFrameworkExtensions</PolicyId>
  </BasePolicy>

  <RelyingParty>
    <DefaultUserJourney ReferenceId="SignUpOrSignIn" />
    <UserJourneyBehaviors>
      <SingleSignOn Scope="Tenant" KeepAliveInDays="7"/>
      <SessionExpiryType>Rolling</SessionExpiryType>
      <SessionExpiryInSeconds>900</SessionExpiryInSeconds>
      <JourneyInsights TelemetryEngine="ApplicationInsights" InstrumentationKey="your-application-insights-key" DeveloperMode="true" ClientEnabled="false" ServerEnabled="true" TelemetryVersion="1.0.0" />
      <ContentDefinitionParameters>
        <Parameter Name="campaignId">{OAUTH-KV:campaignId}</Parameter>
      </ContentDefinitionParameters>
    </UserJourneyBehaviors>
    <TechnicalProfile Id="PolicyProfile">
      <DisplayName>PolicyProfile</DisplayName>
      <Description>The policy profile</Description>
      <Protocol Name="OpenIdConnect" />
      <Metadata>collection of key/value pairs of data</Metadata>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="displayName" />
        <OutputClaim ClaimTypeReferenceId="givenName" />
        <OutputClaim ClaimTypeReferenceId="surname" />
        <OutputClaim ClaimTypeReferenceId="email" />
        <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
        <OutputClaim ClaimTypeReferenceId="identityProvider" />
        <OutputClaim ClaimTypeReferenceId="loyaltyNumber" />
      </OutputClaims>
      <SubjectNamingInfo ClaimType="sub" />
    </TechnicalProfile>
  </RelyingParty>
  ...

Elemen RelyingParty opsional berisi elemen-elemen berikut:

Elemen Kemunculan Deskripsi
DefaultUserJourney 1:1 Perjalanan pengguna default untuk aplikasi RP.
Titik akhir 0:1 Daftar titik akhir. Untuk informasi selengkapnya, lihat Titik akhir UserInfo.
UserJourneyBehaviors 0:1 Cakupan perilaku perjalanan pengguna.
TechnicalProfile 1:1 Profil teknis yang didukung oleh aplikasi RP. Profil teknis menyediakan kontrak untuk aplikasi RP untuk menghubungi Azure Active Directory B2C.

Anda perlu membuat elemen turunan RelyingParty dalam urutan yang disajikan dalam tabel sebelumnya.

Titik akhir

Elemen Titik akhir berisi elemen berikut:

Elemen Kemunculan Deskripsi
Titik akhir 1:1 Referensi ke titik akhir.

Elemen Endpoint berisi atribut berikut ini:

Atribut Wajib Deskripsi
Id Ya Pengidentifikasi unik dari titik akhir.
UserJourneyReferenceId Ya Pengidentifikasi perjalanan dalam kebijakan. Untuk informasi selengkapnya, lihat perjalanan

Contoh berikut menunjukkan pihak mengandalkan dengan titik akhir UserInfo:

<RelyingParty>
  <DefaultUserJourney ReferenceId="SignUpOrSignIn" />
  <Endpoints>
    <Endpoint Id="UserInfo" UserJourneyReferenceId="UserInfoJourney" />
  </Endpoints>
  ...

DefaultUserJourney

Elemen DefaultUserJourney menentukan referensi ke pengidentifikasi perjalanan yang didefinisikan dalam kebijakan Dasar atau Ekstensi. Contoh berikut menunjukkan perjalanan pendaftaran atau masuk yang ditentukan dalam elemen RelyingParty:

kebijakan B2C_1A_signup_signin:

<RelyingParty>
  <DefaultUserJourney ReferenceId="SignUpOrSignIn">
  ...

B2C_1A_TrustFrameWorkBase atau B2C_1A_TrustFrameworkExtensionPolicy:

<UserJourneys>
  <UserJourney Id="SignUpOrSignIn">
  ...

Elemen DefaultUserJourney berisi atribut berikut:

Atribut Wajib Deskripsi
ReferenceId Ya Pengidentifikasi perjalanan dalam kebijakan. Untuk informasi selengkapnya, lihat perjalanan

UserJourneyBehaviors

Elemen UserJourneyBehaviors berisi elemen berikut:

Elemen Kemunculan Deskripsi
SingleSignOn 0:1 Cakupan perilaku sesi akses menyeluruh (SSO) dari perjalanan.
SessionExpiryType 0:1 Perilaku autentikasi sesi. Nilai yang mungkin: Rolling atau Absolute. Nilai Rolling (default) menunjukkan bahwa pengguna tetap masuk selama pengguna terus aktif dalam aplikasi. Nilai Absolute menunjukkan bahwa pengguna dipaksa untuk mengautentikasi ulang setelah jangka waktu yang ditentukan oleh masa sesi aplikasi.
SessionExpiryInSeconds 0:1 Masa pakai cookie sesi Azure Active Directory B2C ditentukan sebagai bilangan bulat yang disimpan di browser pengguna setelah autentikasi berhasil. Defaultnya adalah 86,400 detik (24 jam). Minimumnya adalah 900 detik (15 menit). Maksimumnya adalah 86,400 detik (24 jam).
JourneyInsights 0:1 Kunci instrumentasi Application Insights Azure yang akan digunakan.
ContentDefinitionParameters 0:1 Daftar pasangan nilai kunci yang akan ditambahkan ke URI beban definisi konten.
JourneyFraming 0:1 Memungkinkan antarmuka pengguna dari kebijakan ini dimuat dalam iframe.
ScriptExecution 0:1 Mode eksekusi JavaScript yang didukung. Nilai yang mungkin: Allow atau Disallow (default).

Saat Anda menggunakan elemen di atas, Anda perlu menambahkannya ke elemen UserJourneyBehaviors Anda dalam urutan yang ditentukan dalam tabel. Misalnya, elemen JourneyInsights harus ditambahkan sebelum (di atas) elemen ScriptExecution .

SingleSignOn

Elemen SingleSignOn berisi atribut berikut:

Atribut Wajib Deskripsi
Scope Ya Cakupan perilaku akses menyeluruh. Nilai yang mungkin: Suppressed, Tenant, Application, atau Policy. Nilai Suppressed menunjukkan bahwa perilaku ditekan, dan pengguna selalu diminta untuk memilih penyedia identitas (IdP). Nilai Tenant menunjukkan bahwa perilaku diterapkan ke semua kebijakan dalam penyewa. Misalnya, pengguna yang menavigasi melalui dua perjalanan kebijakan untuk penyewa tidak diminta untuk memilih IdP. Nilai Application menunjukkan bahwa perilaku diterapkan ke semua kebijakan untuk aplikasi yang membuat permintaan. Misalnya, pengguna yang menavigasi melalui dua perjalanan kebijakan untuk aplikasi tidak diminta untuk memilih IdP. Nilai Policy menunjukkan bahwa perilaku hanya berlaku untuk kebijakan. Misalnya, pengguna yang menavigasi melalui dua perjalanan kebijakan untuk kerangka kerja kepercayaan diminta untuk memilih IdP saat beralih antar kebijakan.
KeepAliveInDays No Mengontrol berapa lama pengguna tetap masuk. Mengatur nilai ke 0 akan menonaktifkan fungsionalitas KMSI. Defaultnya adalah 0 (dinonaktifkan). Jumlah minimumnya adalah 1 hari. Jumlah maksimumnya adalah 90 hari. Untuk informasi selengkapnya, lihat Biarkan saya tetap masuk.
EnforceIdTokenHintOnLogout No Memaksa penerusan token ID yang dikeluarkan sebelumnya ke titik akhir keluar sebagai petunjuk tentang sesi terautentikasi pengguna akhir saat ini dengan klien. Nilai yang mungkin: false (default), atau true. Untuk informasi selengkapnya, lihat Masuk web dengan OpenID Connect.

JourneyInsights

Elemen JourneyInsights berisi atribut berikut:

Atribut Wajib Deskripsi
TelemetryEngine Ya Nilainya harus ApplicationInsights.
InstrumentationKey Ya Untai yang berisi kunci instrumentasi untuk elemen wawasan aplikasi.
DeveloperMode Ya Nilai yang mungkin: true atau false. Jika true, Application Insights mempercepat telemetri melalui alur pemrosesan. Pengaturan ini baik untuk pengembangan, tetapi terkendala pada volume tinggi. Log aktivitas terperinci dirancang hanya untuk membantu pengembangan kebijakan kustom. Jangan gunakan mode pengembangan dalam produksi. Log mengumpulkan semua klaim yang dikirim ke dan dari IdP selama pengembangan. Jika digunakan dalam produksi, pengembang bertanggung jawab atas data pribadi yang dikumpulkan dalam log Wawasan Aplikasi yang mereka miliki. Log terperinci ini hanya dikumpulkan ketika nilai ini diatur ke true.
ClientEnabled Ya Nilai yang mungkin: true atau false. Jika true, mengirimkan skrip sisi klien Application Insights untuk melacak tampilan halaman dan kesalahan sisi klien.
ServerEnabled Ya Nilai yang mungkin: true atau false. Jika true, mengirimkan UserJourneyRecorder JSON yang ada sebagai peristiwa khusus ke Application Insights.
TelemetryVersion Ya Nilainya harus 1.0.0.

Untuk informasi selengkapnya, lihat Mengumpulkan Log

ContentDefinitionParameters

Dengan menggunakan kebijakan kustom di Azure Active Directory B2C, Anda bisa mengirim parameter dalam untai kueri. Dengan meneruskan parameter ke titik akhir HTML, Anda dapat mengubah konten halaman secara dinamis. Misalnya, Anda dapat mengubah gambar latar belakang pada halaman pendaftaran atau masuk Azure AD B2C, berdasarkan parameter yang Anda lewati dari web atau aplikasi seluler Anda. Azure AD B2C meneruskan parameter untai kueri ke file HTML dinamis Anda, seperti file aspx.

Contoh berikut meneruskan parameter yang dinamai campaignId dengan nilai hawaii dalam untai kueri:

https://login.microsoft.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?pB2C_1A_signup_signin&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=http%3A%2F%2Fjwt.io%2F&scope=openid&response_type=id_token&prompt=login&campaignId=hawaii

Elemen ContentDefinitionParameters berisi elemen berikut:

Elemen Kemunculan Deskripsi
ContentDefinitionParameter 0:n Untai yang berisi pasangan nilai kunci yang ditambahkan ke untai kueri URI beban definisi konten.

Elemen ContentDefinitionParameter berisi atribut berikut:

Atribut Wajib Deskripsi
Nama Ya Nama pasangan nilai kunci.

Untuk informasi selengkapnya, lihat Mengonfigurasi UI dengan konten dinamis dengan menggunakan kebijakan kustom

JourneyFraming

Elemen JourneyFraming berisi atribut berikut:

Atribut Wajib Deskripsi
Aktif Ya Memungkinkan kebijakan ini dimuat dalam iframe. Nilai yang mungkin: false (default), atau true.
Sumber Ya Berisi domain yang akan memuat host iframe. Untuk informasi selengkapnya, lihat Memuat Azure B2C dalam iframe.

TechnicalProfile

Elemen TechnicalProfile berisi atribut berikut:

Atribut Wajib Deskripsi
Id Ya Nilainya harus PolicyProfile.

Elemen TechnicalProfile berisi elemen berikut:

Elemen Kemunculan Deskripsi
DisplayName 1:1 Untai yang berisi nama profil teknis.
Deskripsi 0:1 Untai yang berisi deskripsi profil teknis.
Protokol 1:1 Protokol yang digunakan untuk federasi.
Metadata 0:1 Pengumpulan Item pasangan kunci/nilai yang digunakan oleh protokol untuk berkomunikasi dengan titik akhir dalam kursus transaksi untuk mengonfigurasi interaksi antara pihak yang mengandalkan dan peserta komunitas lainnya.
InputClaims 1:1 Daftar jenis klaim yang diambil sebagai input di profil teknis. Setiap elemen ini berisi referensi ke ClaimType yang telah ditentukan di bagian ClaimsSchema atau dalam kebijakan yang diwarisi oleh file kebijakan ini.
OutputClaims 1:1 Daftar jenis klaim yang diambil sebagai output di profil teknis. Setiap elemen ini berisi referensi ke ClaimType yang telah ditentukan di bagian ClaimsSchema atau dalam kebijakan yang diwarisi oleh file kebijakan ini.
SubjectNamingInfo 1:1 Nama subjek yang digunakan dalam token.

Elemen Protokol berisi atribut berikut ini:

Atribut Wajib Deskripsi
Nama Ya Nama protokol yang valid didukung oleh Azure Active Directory B2C yang digunakan sebagai bagian dari profil teknis. Nilai yang mungkin: OpenIdConnect atau SAML2. Nilai OpenIdConnect tersebut menunjukkan standar protokol OpenID Connect 1.0 sesuai spesifikasi dasar OpenID. SAML2 mewakili standar protokol SAML 2.0 sesuai spesifikasi OASIS.

Metadata

Ketika protokol adalah SAML, elemen metadata berisi elemen-elemen berikut. Untuk informasi selengkapnya, lihat Opsi untuk mendaftarkan aplikasi SAML di Azure Active Directory B2C.

Atribut Wajib Deskripsi
IdpInitiatedProfileEnabled No Menunjukkan apakah alur yang dimulai IDP didukung. Nilai yang mungkin: true atau false (default).
XmlSignatureAlgorithm No Metode yang digunakan Azure AD B2C untuk menandatangani Respons SAML. Nilai yang mungkin: Sha256, Sha384, Sha512, atau Sha1. Pastikan Anda mengonfigurasi algoritma tanda tangan pada kedua sisi dengan nilai yang sama. Hanya gunakan algoritma yang didukung sertifikat Anda. Untuk mengonfigurasi Pernyataan SAML, lihat metadata profil teknis penerbit SAML.
DataEncryptionMethod No Menunjukkan metode yang digunakan Azure Active Directory B2C untuk mengenkripsi data, menggunakan algoritma Standar Enkripsi Lanjutan (AES). Metadata mengontrol nilai elemen <EncryptedData> dalam respons SAML. Nilai yang mungkin: Aes256 (default), Aes192, Sha512, atau Aes128.
KeyEncryptionMethod No Menunjukkan metode yang digunakan Azure Active Directory B2C untuk mengenkripsi salinan kunci yang digunakan untuk mengenkripsi data. Metadata mengontrol nilai elemen <EncryptedKey> dalam respons SAML. Nilai yang mungkin: Rsa15 (default) - algoritma Standar Kriptografi Kunci Publik (PKCS) RSA Versi 1.5, RsaOaep - algoritma enkripsi Padding Enkripsi Asimetris Optimal (OAEP) RSA.
UseDetachedKeys No Nilai yang mungkin: true, atau false (default). Saat nilai diatur ke true, Azure Active Directory B2C mengubah format pernyataan terenkripsi. Menggunakan kunci yang terlepas akan menambahkan pernyataan terenkripsi sebagai turunan dari EncrytedAssertion, bukan EncryptedData.
WantsSignedResponses No Menunjukkan apakah Azure Active Directory B2C menandatangani bagian Response respons SAML. Nilai yang mungkin: true (default) atau false.
RemoveMillisecondsFromDateTime No Menunjukkan apakah milidetik akan dihapus dari nilai tanggalwaktu dalam respons SAML (ini termasuk IssueInstant, NotBefore, NotOnOrAfter, dan AuthnInstant). Nilai yang mungkin: false (default) atau true.
RequestContextMaximumLengthInBytes No Menunjukkan panjang maksimum parameter aplikasi SAML RelayState. Defaultnya adalah 1000. Maksimumnya adalah 2048.

InputClaims

Elemen InputClaims berisi elemen berikut ini:

Elemen Kemunculan Deskripsi
InputClaim 0:n Jenis klaim input yang diharapkan.

Elemen InputClaim berisi atribut berikut:

Atribut Wajib Deskripsi
ClaimTypeReferenceId Ya Referensi ke ClaimType sudah ditentukan di bagian ClaimsSchema dalam file kebijakan.
DefaultValue No Nilai default yang dapat digunakan jika nilai klaim kosong.
PartnerClaimType No Mengirimkan klaim dengan nama yang berbeda seperti yang dikonfigurasi dalam definisi ClaimType.

OutputClaims

Elemen OutputClaims berisi elemen berikut:

Elemen Kemunculan Deskripsi
OutputClaim 0:n Nama jenis klaim yang diharapkan dalam daftar yang didukung untuk kebijakan tempat pihak yang mengandalkan berlangganan. Klaim ini berfungsi sebagai output untuk profil teknis.

Elemen OutputClaim berisi atribut berikut:

Atribut Wajib Deskripsi
ClaimTypeReferenceId Ya Referensi ke ClaimType sudah ditentukan di bagian ClaimsSchema dalam file kebijakan.
DefaultValue No Nilai default yang dapat digunakan jika nilai klaim kosong.
PartnerClaimType No Mengirimkan klaim dengan nama yang berbeda seperti yang dikonfigurasi dalam definisi ClaimType.

SubjectNamingInfo

Dengan elemen SubjectNamingInfo, Anda mengontrol nilai subjek token:

  • Token JWT - klaim sub. Ini adalah prinsipal yang tokennya menegaskan informasi, seperti pengguna aplikasi. Nilai ini tidak dapat diubah dan tidak dapat ditetapkan ulang atau digunakan kembali. Ini dapat digunakan untuk melakukan pemeriksaan otorisasi dengan aman, seperti saat token digunakan untuk mengakses sumber daya. Secara default, klaim subjek diisi dengan ID objek pengguna di direktori. Untuk informasi selengkapnya, lihat Token, sesi, dan konfigurasi akses menyeluruh.
  • Token SAML - elemen <Subject><NameID>, yang mengidentifikasi elemen subjek. Format NameId dapat dimodifikasi.

Elemen SubjectNamingInfo berisi atribut berikut:

Atribut Wajib Deskripsi
ClaimType Ya Referensi ke klaim output PartnerClaimType. Klaim output harus ditentukan dalam kumpulan kebijakan pihak terpercaya OutputClaims dengan PartnerClaimType. Misalnya, <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub" /> atau <OutputClaim ClaimTypeReferenceId="signInName" PartnerClaimType="signInName" />.
Format No Digunakan untuk pihak yang mengandalkan SAML untuk mengatur format NameId yang dikembalikan dalam Pernyataan SAML.

Contoh berikut menunjukkan cara menentukan pihak yang mengandalkan OpenID Connect. Info nama subjek dikonfigurasi sebagai objectId:

<RelyingParty>
  <DefaultUserJourney ReferenceId="SignUpOrSignIn" />
  <TechnicalProfile Id="PolicyProfile">
    <DisplayName>PolicyProfile</DisplayName>
    <Protocol Name="OpenIdConnect" />
    <OutputClaims>
      <OutputClaim ClaimTypeReferenceId="displayName" />
      <OutputClaim ClaimTypeReferenceId="givenName" />
      <OutputClaim ClaimTypeReferenceId="surname" />
      <OutputClaim ClaimTypeReferenceId="email" />
      <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
      <OutputClaim ClaimTypeReferenceId="identityProvider" />
    </OutputClaims>
    <SubjectNamingInfo ClaimType="sub" />
  </TechnicalProfile>
</RelyingParty>

Token JWT mencakup klaim sub dengan user objectId:

{
  ...
  "sub": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
  ...
}

Contoh berikut menunjukkan cara mendefinisikan pihak yang mengandalkan SAML. Info nama subjek dikonfigurasi sebagai objectId, dan NameId format telah disediakan:

<RelyingParty>
  <DefaultUserJourney ReferenceId="SignUpOrSignIn" />
  <TechnicalProfile Id="PolicyProfile">
    <DisplayName>PolicyProfile</DisplayName>
    <Protocol Name="SAML2" />
    <OutputClaims>
      <OutputClaim ClaimTypeReferenceId="displayName" />
      <OutputClaim ClaimTypeReferenceId="givenName" />
      <OutputClaim ClaimTypeReferenceId="surname" />
      <OutputClaim ClaimTypeReferenceId="email" />
      <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
      <OutputClaim ClaimTypeReferenceId="identityProvider" />
    </OutputClaims>
    <SubjectNamingInfo ClaimType="sub" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"/>
  </TechnicalProfile>
</RelyingParty>