Konfiguracja logowania z wykorzystaniem dostawcy SAML Salesforce przez użycie protokołu SAML w usłudze Azure Active Directory B2C

Ważne

Od 1 maja 2025 r. usługa Azure AD B2C nie będzie już dostępna do zakupu dla nowych klientów. Dowiedz się więcej w naszych często zadawanych pytaniach.

Przed rozpoczęciem użyj selektora Wybierz typ zasad w górnej części tej strony, aby wybrać typ konfigurowanych zasad. Usługa Azure Active Directory B2C oferuje dwie metody definiowania sposobu interakcji użytkowników z aplikacjami: za pomocą wstępnie zdefiniowanych przepływów użytkowników lub w pełni konfigurowalnych zasad niestandardowych. Kroki wymagane w tym artykule są różne dla każdej metody.

Ta funkcja jest dostępna tylko dla zasad niestandardowych. Aby uzyskać instrukcje konfiguracji, wybierz pozycję Zasady niestandardowe w poprzednim selektorze.

Uwaga / Notatka

W usłudze Azure Active Directory B2C niestandardowe zasady są przeznaczone głównie do rozwiązywania złożonych scenariuszy. W przypadku większości scenariuszy zalecamy używanie wbudowanych przepływów użytkownika. Jeśli nie zostało to zrobione, dowiedz się więcej o niestandardowym pakiecie startowym zasad w temacie Wprowadzenie do zasad niestandardowych w usłudze Active Directory B2C.

W tym artykule pokazano, jak włączyć logowanie dla użytkowników z organizacji usługi Salesforce przy użyciu zasad niestandardowych w usłudze Azure Active Directory B2C (Azure AD B2C). Funkcję logowania można włączyć, dodając dostawcę tożsamości SAML do niestandardowej polityki.

Wymagania wstępne

• Wykonaj kroki opisane w Jak rozpocząć z zasadami niestandardowymi w usłudze Active Directory B2C. W tym samouczku przedstawiono sposób aktualizowania niestandardowych plików zasad, aby korzystać z konfiguracji kont usługi Azure AD B2C.
• Jeśli nie zarejestrowałeś jeszcze aplikacji webowej, zarejestruj ją, korzystając z kroków w zarejestruj aplikację webową.

• Jeśli jeszcze tego nie zrobiono, utwórz konto bezpłatnej wersji Developer Edition. W tym artykule jest używane środowisko Salesforce Lightning Experience.
• Skonfiguruj My Domain dla organizacji Salesforce.

Skonfiguruj Salesforce jako dostawcę tożsamości

1. Zaloguj się do usługi Salesforce.
2. W menu po lewej stronie, w obszarze Ustawienia, rozwiń Tożsamość, a następnie wybierz Dostawcę tożsamości.
3. Wybierz Włącz dostawcę tożsamości.
4. W obszarze Wybierz certyfikat wybierz certyfikat, którego usługa Salesforce ma używać do komunikowania się z usługą Azure AD B2C. Możesz użyć certyfikatu domyślnego.
5. Kliknij przycisk Zapisz.

Tworzenie połączonej aplikacji w usłudze Salesforce

1. Na stronie Dostawca tożsamości wybierz pozycję Dostawcy usług są teraz tworzeni za pośrednictwem połączonych aplikacji. Kliknij tutaj.

2. W obszarze Podstawowe informacje wprowadź wymagane wartości dla połączonej aplikacji.

3. W obszarze Ustawienia aplikacji internetowej zaznacz pole Włącz protokół SAML .

4. W polu Identyfikator jednostki wprowadź następujący adres URL. Upewnij się, że zastąpisz wartość parametru your-tenant nazwą dzierżawcy usługi Azure AD B2C.

   https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase
   

   W przypadku korzystania z domeny niestandardowej użyj następującego formatu:

   https://your-domain-name/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase
   

5. W polu Adres URL usługi ACS wprowadź następujący adres URL. Upewnij się, że zastąpisz wartość parametru your-tenant nazwą dzierżawcy usługi Azure AD B2C.

   https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase/samlp/sso/assertionconsumer
   

   W przypadku korzystania z domeny niestandardowej użyj następującego formatu:

   https://your-domain-name/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase/samlp/sso/assertionconsumer
   

6. Przewiń w dół listy, a następnie kliknij przycisk Zapisz.

Uzyskiwanie adresu URL metadanych

1. Na stronie przeglądu połączonej aplikacji kliknij pozycję Zarządzaj.
2. Skopiuj wartość punktu końcowego odnajdywania metadanych, a następnie zapisz ją. Użyjesz go w dalszej części tego artykułu.

Konfigurowanie użytkowników usługi Salesforce w celu federacji

1. Na stronie Zarządzanie połączonej aplikacji kliknij pozycję Zarządzaj profilami.
2. Wybierz profile (lub grupy użytkowników), które chcesz sfederować z usługą Azure AD B2C. Jako administrator systemu zaznacz pole wyboru Administrator systemu, aby można było sfederować przy użyciu konta usługi Salesforce.

Tworzenie certyfikatu z podpisem własnym

Jeśli nie masz jeszcze certyfikatu, możesz użyć certyfikatu z podpisem własnym. Certyfikat z podpisem własnym jest certyfikatem zabezpieczeń, który nie jest podpisany przez urząd certyfikacji i nie zapewnia gwarancji bezpieczeństwa certyfikatu podpisanego przez urząd certyfikacji.

Windows

W systemie Windows użyj polecenia cmdlet New-SelfSignedCertificate w programie PowerShell, aby wygenerować certyfikat.

1. Uruchom następujące polecenie programu PowerShell, aby wygenerować certyfikat z podpisem własnym. Zmodyfikuj -Subject argument odpowiednio dla aplikacji i nazwy dzierżawy usługi Azure AD B2C, na przykład contosowebapp.contoso.onmicrosoft.com. Możesz również dostosować -NotAfter datę, aby określić inne wygaśnięcie certyfikatu.

   New-SelfSignedCertificate `
       -KeyExportPolicy Exportable `
       -Subject "CN=yourappname.yourtenant.onmicrosoft.com" `
       -KeyAlgorithm RSA `
       -KeyLength 2048 `
       -KeyUsage DigitalSignature `
       -NotAfter (Get-Date).AddMonths(12) `
       -CertStoreLocation "Cert:\CurrentUser\My"
   

2. Na komputerze z systemem Windows wyszukaj i wybierz pozycję Zarządzaj certyfikatami użytkowników

3. W obszarze Certyfikaty — bieżący użytkownik wybierz pozycję Certyfikaty>yourappname.yourtenant.onmicrosoft.com.

4. Wybierz certyfikat, a następnie wybierz pozycję Akcja>Wszystkie zadania>eksportu.

5. Wybierz pozycję >prywatny Dalej.

6. Zaakceptuj wartości domyślne formatu pliku eksportu, a następnie wybierz przycisk Dalej.

7. Włącz opcję Hasło , wprowadź hasło dla certyfikatu, a następnie wybierz pozycję Dalej.

8. Aby określić lokalizację do zapisania certyfikatu, wybierz pozycję Przeglądaj i przejdź do wybranego katalogu.

9. W oknie Zapisz jako wprowadź nazwę pliku, a następnie wybierz pozycję Zapisz.

10. Wybierz pozycję Next>Finish (Zakończ).

Aby usługa Azure AD B2C akceptowała hasło pliku pfx, należy zaszyfrować hasło przy użyciu opcji TripleDES-SHA1 w narzędziu eksportu magazynu certyfikatów systemu Windows, w przeciwieństwie do AES256-SHA256.

macOS

W systemie macOS użyj Asystenta certyfikatów w obszarze Dostęp łańcucha kluczy, aby wygenerować certyfikat.

1. Postępuj zgodnie z instrukcjami dotyczącymi tworzenia certyfikatów z podpisem własnym w programie Keychain Access na komputerze Mac.
2. W aplikacji Keychain Access na komputerze Mac wybierz utworzony certyfikat.
3. Wybierz pozycję Plik>Eksportuj elementy.
4. Wybierz nazwę pliku, aby zapisać certyfikat. Na przykład: self-signed-certificate.p12.
5. W obszarze Format pliku wybierz pozycję Wymiana informacji osobistych (p12).
6. Wybierz Zapisz.
7. Wprowadź hasło w polach Hasło i Sprawdź .
8. Zastąp rozszerzenie pliku plikiem pfx. Na przykład: self-signed-certificate.pfx.

Tworzenie klucza zasad

Musisz przechowywać certyfikat, który utworzyłeś w swojej dzierżawie usługi Azure AD B2C.

1. Zaloguj się do witryny Azure Portal.
2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się na dzierżawę Azure AD B2C z menu Katalogi + subskrypcje.
3. Wybierz pozycję Wszystkie usługi w lewym górnym rogu witryny Azure Portal, a następnie wyszukaj i wybierz pozycję Azure AD B2C.
4. Na stronie Przegląd ogólny wybierz pozycję Identity Experience Framework.
5. Wybierz Klucze zasad, a następnie wybierz Dodaj.
6. W obszarze Opcje wybierz pozycję Upload.
7. Wprowadź nazwę zasad. Na przykład SAMLSigningCert. Prefiks B2C_1A_ jest automatycznie dodawany do nazwy klucza.
8. Przejrzyj do i wybierz certyfikat B2CSigningCert.pfx, który stworzyłeś.
9. Wprowadź hasło dla certyfikatu.
10. Kliknij pozycję Utwórz.

Dodaj dostawcę roszczeń

Jeśli chcesz, aby użytkownicy logowali się przy użyciu konta usługi Salesforce, musisz zdefiniować konto jako dostawcę oświadczeń, z którym usługa Azure AD B2C może komunikować się za pośrednictwem punktu końcowego. Punkt końcowy udostępnia zestaw oświadczeń używanych przez usługę Azure AD B2C do sprawdzania, czy określony użytkownik został uwierzytelniony.

Konto usługi Salesforce można zdefiniować jako dostawcę oświadczeń, dodając je do elementu ClaimsProviders w pliku rozszerzenia zasad. Aby uzyskać więcej informacji, zobacz definiowanie dostawcy tożsamości SAML.

1. Otwórz TrustFrameworkExtensions.xml.

2. Znajdź element ClaimsProviders . Jeśli nie istnieje, dodaj go pod elementem głównym.

3. Dodaj nowy element ClaimsProvider w następujący sposób:

   <ClaimsProvider>
     <Domain>salesforce.com</Domain>
     <DisplayName>Salesforce</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="Salesforce-SAML2">
         <DisplayName>Salesforce</DisplayName>
         <Description>Login with your Salesforce account</Description>
         <Protocol Name="SAML2"/>
         <Metadata>
           <Item Key="WantsEncryptedAssertions">false</Item>
           <Item Key="WantsSignedAssertions">false</Item>
           <Item Key="PartnerEntity">https://contoso-dev-ed.my.salesforce.com/.well-known/samlidp.xml</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SAMLSigningCert"/>
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="userId"/>
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name"/>
           <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name"/>
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email"/>
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="username"/>
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication"/>
           <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="salesforce.com" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-idp"/>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Zaktualizuj wartość PartnerEntity przy użyciu skopiowanego wcześniej adresu URL metadanych usługi Salesforce.

5. Zaktualizuj wartość obu wystąpień StorageReferenceId na nazwę klucza swojego certyfikatu podpisywania. Na przykład B2C_1A_SAMLSigningCert.

6. Znajdź sekcję <ClaimsProviders> i dodaj następujący fragment kodu XML. Jeśli twoje zasady już zawierają profil techniczny SM-Saml-idp, przejdź do następnego kroku. Aby uzyskać więcej informacji, zobacz Zarządzanie sesjami logowania jednokrotnego.

   <ClaimsProvider>
     <DisplayName>Session Management</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="SM-Saml-idp">
         <DisplayName>Session Management Provider</DisplayName>
         <Protocol Name="Proprietary" Handler="Web.TPEngine.SSO.SamlSSOSessionProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
         <Metadata>
           <Item Key="IncludeSessionIndex">false</Item>
           <Item Key="RegisterServiceProviders">false</Item>
         </Metadata>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

7. Zapisz plik.

Dodanie ścieżki użytkownika

W tym momencie dostawca tożsamości został skonfigurowany, ale nie jest jeszcze dostępny na żadnej ze stron logowania. Jeśli nie masz własnej niestandardowej podróży użytkownika, utwórz duplikat szablonu podróży użytkownika, inaczej przejdź do następnego kroku.

1. Otwórz plik TrustFrameworkBase.xml z pakietu startowego.
2. Znajdź i skopiuj całą zawartość elementu UserJourney , który zawiera Id="SignUpOrSignIn"element .
3. Otwórz TrustFrameworkExtensions.xml i znajdź element UserJourneys . Jeśli element nie istnieje, dodaj go.
4. Wklej całą zawartość elementu UserJourney skopiowaną jako element podrzędny elementu UserJourneys .
5. Zmień identyfikator podróży użytkownika. Na przykład Id="CustomSignUpSignIn".

Dodaj dostawcę tożsamości do podróży użytkownika

Teraz, gdy masz ścieżkę użytkownika, dodaj nowego dostawcę tożsamości do tej ścieżki. Najpierw dodaj przycisk logowania, a następnie połącz przycisk z akcją. Akcja to utworzony wcześniej profil techniczny.

1. Znajdź element kroku aranżacji, który zawiera Type="CombinedSignInAndSignUp" lub Type="ClaimsProviderSelection" w ścieżce użytkownika. Zazwyczaj jest to pierwszy krok aranżacji. Element ClaimsProviderSelections zawiera listę dostawców tożsamości, za pomocą których użytkownik może się zalogować. Kolejność elementów kontroluje kolejność przycisków logowania przedstawionych użytkownikowi. Dodaj element XML ClaimsProviderSelection. Ustaw wartość TargetClaimsExchangeId na przyjazną nazwę.

2. W następnym kroku aranżacji dodaj element ClaimsExchange . Ustaw Id na wartość identyfikatora wymiany oświadczeń dla celu. Zaktualizuj wartość TechnicalProfileReferenceId na Id profilu technicznego utworzonego wcześniej.

Poniższy kod XML przedstawia dwa pierwsze kroki orkiestracji podróży użytkownika z dostawcą tożsamości:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="SalesforceExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="SalesforceExchange" TechnicalProfileReferenceId="Salesforce-SAML2" />
  </ClaimsExchanges>
</OrchestrationStep>

Konfigurowanie polityki podmiotu polegającego

Polityka zaufanej strony, na przykład SignUpSignIn.xml, określa podróż użytkownika, którą zrealizuje Azure AD B2C. Znajdź element DefaultUserJourney w stronie zaufanej. Zaktualizuj identyfikator ReferenceId , aby był zgodny z identyfikatorem podróży użytkownika, w którym dodano dostawcę tożsamości.

W poniższym przykładzie dla ścieżki użytkownika CustomSignUpSignIn identyfikator ReferenceId jest ustawiony na:CustomSignUpSignIn

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Przekaż zasady niestandardowe

1. Zaloguj się do witryny Azure Portal.
2. Wybierz ikonę Katalog i subskrypcja na pasku narzędzi portalu, a następnie wybierz katalog zawierający dzierżawę usługi Azure AD B2C.
3. W witrynie Azure Portal wyszukaj i wybierz pozycję Azure AD B2C.
4. W obszarze Policieswybierz pozycję Identity Experience Framework.
5. Wybierz Załaduj zasady niestandardowe, a następnie załaduj dwa zmienione pliki zasad w następującej kolejności: zasady rozszerzenia, na przykład TrustFrameworkExtensions.xml, a następnie zasady strony zależnej, takie jak SignUpSignIn.xml.

Przetestuj swoje zasady niestandardowe

1. Wybierz zasady zaufanej strony, na przykład B2C_1A_signup_signin.
2. W polu Aplikacja wybierz wcześniej zarejestrowaną aplikację internetową. Adres URL odpowiedzi powinien zawierać wartość https://jwt.ms.
3. Wybierz przycisk Uruchom teraz .
4. Na stronie rejestracji lub logowania wybierz pozycję Salesforce , aby zalogować się przy użyciu konta usługi Salesforce.

Jeśli proces logowania zakończy się pomyślnie, przeglądarka zostanie przekierowana do https://jwt.ms, gdzie wyświetlana jest zawartość tokenu zwróconego przez Azure AD B2C.