Menentukan profil teknis untuk pengeluar sertifikat token SAML dalam kebijakan kustom Azure Active Directory B2C
Catatan
Di Azure Active Directory B2C, kebijakan kustom didesain khusus untuk menangani skenario kompleks. Untuk skenario umum, sebaiknya gunakan alur pengguna bawaan. Jika Anda belum melakukannya, pelajari tentang paket starter kebijakan kustom di Mulai dengan kebijakan kustom di Azure Active Directory B2C.
Azure Active Directory B2C (Azure AD B2C) mengeluarkan beberapa jenis token saat memproses setiap alur autentikasi. Profil teknis untuk pengeluar sertifikat token SAML mengeluarkan token SAML yang dikembalikan ke aplikasi pihak yang mengandalkan (penyedia layanan). Biasanya profil teknis ini adalah langkah orkestrasi terakhir dalam perjalanan.
Protokol
Atribut Nama dari elemen Protokol perlu diatur ke SAML2. Atur elemen OutputTokenFormat ke SAML2.
Contoh berikut menunjukkan profil teknis untuk Saml2AssertionIssuer:
<TechnicalProfile Id="Saml2AssertionIssuer">
<DisplayName>Token Issuer</DisplayName>
<Protocol Name="SAML2"/>
<OutputTokenFormat>SAML2</OutputTokenFormat>
<Metadata>
<Item Key="IssuerUri">https://tenant-name.b2clogin.com/tenant-name.onmicrosoft.com/B2C_1A_signup_signin_SAML</Item>
<Item Key="TokenNotBeforeSkewInSeconds">600</Item>
</Metadata>
<CryptographicKeys>
<Key Id="MetadataSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
<Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
</CryptographicKeys>
<InputClaims/>
<OutputClaims/>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-issuer"/>
</TechnicalProfile>
Klaim masukan, keluaran, dan pertahankan
Elemen InputClaims, OutputClaims, dan PersistClaims kosong atau tidak ada. Elemen InutputClaimsTransformations dan OutputClaimsTransformations juga tidak ada.
Metadata
| Atribut | Diperlukan | Deskripsi |
|---|---|---|
| IssuerUri | Tidak | Nama pengeluar sertifikat yang muncul dalam respons SAML. Nilai harus berupa nama yang sama seperti yang dikonfigurasi dalam aplikasi pihak yang mengandalkan. |
| XmlSignatureAlgorithm | Tidak | Metode yang digunakan Azure Active Directory B2C untuk menandatangani Pernyataan SAML. Kemungkinan nilai adalah: Sha256, Sha384, Sha512, atau Sha1. Pastikan Anda mengonfigurasi algoritma tanda tangan di kedua sisi dengan nilai yang sama. Hanya gunakan algoritma yang didukung sertifikat Anda. Untuk mengonfigurasi Respons SAML, lihat Opsi untuk mendaftarkan aplikasi SAML |
| TokenNotBeforeSkewInSeconds | Tidak | Menentukan kemiringan, sebagai bilangan bulat, untuk stempel waktu yang menandai periode validitas. Semakin tinggi angka ini, semakin jauh periode validitasnya dimulai sehubungan dengan waktu klaim dikeluarkan untuk pihak yang mengandalkan. Misalnya, ketika TokenNotBeforeSkewInSeconds diatur ke 60 detik, jika token dikeluarkan pada 13:05:10 UTC, maka token berlaku mulai pukul 13:04:10 UTC. Nilai default adalah 0. Nilai maksimum adalah 3600 (satu jam). |
| TokenLifeTimeInSeconds | Tidak | Menentukan masa Pernyataan SAML. Nilai ini adalah dalam hitungan detik dari nilai NotBefore yang direferensikan di atas. Nilai default adalah 300 detik (5 Menit). |
Kunci kriptografi
Elemen CryptographicKeys berisi atribut berikut:
| Atribut | Diperlukan | Deskripsi |
|---|---|---|
| MetadataSigning | Ya | Sertifikat X509 (set kunci RSA) yang digunakan untuk menandatangani metadata SAML. Azure Active Directory B2C menggunakan kunci ini untuk menandatangani metadata. |
| SamlMessageSigning | Ya | Menentukan sertifikat X509 (set kunci RSA) yang akan digunakan untuk menandatangani pesan SAML. Azure Active Directory B2C menggunakan kunci ini untuk menandatangani respons <samlp:Response> yang dikirim ke pihak yang mengandalkan. |
| SamlAssertionSigning | Tidak | Tentukan sertifikat X509 (set kunci RSA) yang akan digunakan untuk menandatangani elemen pernyataan <saml:Assertion> SAML dari token SAML. Jika tidak disediakan, SamlMessageSigning kunci kriptografi digunakan sebagai gantinya. |
Manajemen Sesi
Untuk mengonfigurasi sesi SAML Azure Active Directory B2C antara aplikasi pihak yang mengandalkan, atribut elemen UseTechnicalProfileForSessionManagement, referensi ke sesi SSO SamlSSOSessionProvider.
Langkah berikutnya
Lihat artikel berikut untuk contoh penggunaan profil teknis pengeluar sertifikat SAML: