Configurar a entrada com um provedor SAML do Salesforce usando o protocolo SAML no Azure Ative Directory B2C

Antes de começar, use o seletor Escolha um tipo de política para escolher o tipo de política que você está configurando. O Azure Ative Directory B2C oferece dois métodos para definir como os usuários interagem com seus aplicativos: por meio de fluxos de usuário predefinidos ou por meio de políticas personalizadas totalmente configuráveis. As etapas exigidas neste artigo são diferentes para cada método.

Este recurso está disponível apenas para políticas personalizadas. Para as etapas de configuração, selecione Política personalizada no seletor anterior.

Nota

No Azure Ative Directory B2C, as políticas personalizadas são projetadas principalmente para lidar com cenários complexos. Para a maioria dos cenários, recomendamos que você use fluxos de usuário internos. Se você não tiver feito isso, saiba mais sobre o pacote inicial de políticas personalizadas em Introdução às políticas personalizadas no Ative Directory B2C.

Este artigo mostra como habilitar o logon para usuários de uma organização do Salesforce usando políticas personalizadas no Azure Ative Directory B2C (Azure AD B2C). Você habilita o logon adicionando um provedor de identidade SAML a uma política personalizada.

Pré-requisitos

• Conclua as etapas em Introdução às políticas personalizadas no Ative Directory B2C.
• Se ainda não o fez, registe uma aplicação Web.

• Se ainda não o fez, inscreva-se numa conta gratuita do Developer Edition. Este artigo usa o Salesforce Lightning Experience.
• Configure um Meu domínio para sua organização do Salesforce.

Configurar o Salesforce como um provedor de identidade

1. Faça login no Salesforce.
2. No menu à esquerda, em Configurações, expanda Identidade e selecione Provedor de Identidade.
3. Selecione Ativar provedor de identidade.
4. Em Selecione o certificado, selecione o certificado que você deseja que o Salesforce use para se comunicar com o Azure AD B2C. Você pode usar o certificado padrão.
5. Clique em Guardar.

Criar um aplicativo conectado no Salesforce

1. Na página Provedor de Identidade , selecione Provedores de Serviços agora são criados por meio de Aplicativos Conectados. Clique aqui.

2. Em Informações básicas, insira os valores necessários para seu aplicativo conectado.

3. Em Configurações do Aplicativo Web, marque a caixa Habilitar SAML .

4. No campo ID da entidade, insira o seguinte URL. Certifique-se de substituir o valor for your-tenant pelo nome do locatário do Azure AD B2C.

   https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase
   

   Ao usar um domínio personalizado, use o seguinte formato:

   https://your-domain-name/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase
   

5. No campo URL do ACS, insira o seguinte URL . Certifique-se de substituir o valor for your-tenant pelo nome do locatário do Azure AD B2C.

   https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase/samlp/sso/assertionconsumer
   

   Ao usar um domínio personalizado, use o seguinte formato:

   https://your-domain-name/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase/samlp/sso/assertionconsumer
   

6. Desloque-se para a parte inferior da lista e, em seguida, clique em Guardar.

Obter o URL dos metadados

1. Na página de visão geral do seu aplicativo conectado, clique em Gerenciar.
2. Copie o valor de Metadata Discovery Endpoint e salve-o. Você vai usá-lo mais adiante neste artigo.

Configurar usuários do Salesforce para federar

1. Na página Gerir da sua aplicação ligada, clique em Gerir Perfis.
2. Selecione os perfis (ou grupos de usuários) que você deseja federar com o Azure AD B2C. Como administrador do sistema, marque a caixa de seleção Administrador do sistema para que você possa federar usando sua conta do Salesforce.

Criar um certificado autoassinado

Se você ainda não tiver um certificado, poderá usar um certificado autoassinado. Um certificado autoassinado é um certificado de segurança que não é assinado por uma autoridade de certificação (CA) e não fornece as garantias de segurança de um certificado assinado por uma autoridade de certificação.

Windows

No Windows, use o cmdlet New-SelfSignedCertificate no PowerShell para gerar um certificado.

1. Execute o seguinte comando do PowerShell para gerar um certificado autoassinado. Modifique o -Subject argumento conforme apropriado para seu aplicativo e nome de locatário do Azure AD B2C, como contosowebapp.contoso.onmicrosoft.com. Você também pode ajustar a -NotAfter data para especificar uma expiração diferente para o certificado.

   New-SelfSignedCertificate `
       -KeyExportPolicy Exportable `
       -Subject "CN=yourappname.yourtenant.onmicrosoft.com" `
       -KeyAlgorithm RSA `
       -KeyLength 2048 `
       -KeyUsage DigitalSignature `
       -NotAfter (Get-Date).AddMonths(12) `
       -CertStoreLocation "Cert:\CurrentUser\My"
   

2. No computador Windows, procure e selecione Gerenciar certificados de usuário

3. Em Certificados - Usuário Atual, selecione Certificados Pessoais>>yourappname.yourtenant.onmicrosoft.com.

4. Selecione o certificado e, em seguida, selecione Ação>Todas as Tarefas>Exportar.

5. Selecione Avançar>Sim, exportar a chave>privada Avançar.

6. Aceite os padrões para Exportar Formato de Arquivo e selecione Avançar.

7. Ative a opção Senha , digite uma senha para o certificado e selecione Avançar.

8. Para especificar um local para salvar seu certificado, selecione Procurar e navegue até um diretório de sua escolha.

9. Na janela Guardar Como, introduza um Nome de ficheiro e, em seguida, selecione Guardar.

10. Selecione Seguinte>Concluir.

Para que o Azure AD B2C aceite a senha do arquivo .pfx, a senha deve ser criptografada com a opção TripleDES-SHA1 no utilitário Exportação do Windows Certificate Store, em oposição a AES256-SHA256.

macOS

No macOS, use o Assistente de Certificado no Acesso às Chaves para gerar um certificado.

1. Siga as instruções sobre como criar certificados autoassinados no Acesso às Chaves num Mac.
2. Na aplicação Acesso às Chaves no Mac, selecione o certificado que criou.
3. Selecione Itens de exportação de arquivo>.
4. Selecione um nome de arquivo para salvar seu certificado. Por exemplo: self-signed-certificate.p12.
5. Em Formato de arquivo, selecione Troca de informações pessoais (.p12).
6. Selecione Guardar.
7. Introduza uma palavra-passe nas caixas Palavra-passe e Verificar .
8. Substitua a extensão do arquivo para .pfx. Por exemplo: self-signed-certificate.pfx.

Criar uma chave de política

Você precisa armazenar o certificado criado em seu locatário do Azure AD B2C.

1. Inicie sessão no portal do Azure.
2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas .
3. Escolha Todos os serviços no canto superior esquerdo do portal do Azure e, em seguida, procure e selecione Azure AD B2C.
4. Na página Visão geral, selecione Identity Experience Framework.
5. Selecione Chaves de política e, em seguida, selecione Adicionar.
6. Em Opções, escolha Upload.
7. Introduza um Nome para a política. Por exemplo, SAMLSigningCert. O prefixo B2C_1A_ é adicionado automaticamente ao nome da sua chave.
8. Procure e selecione o certificado B2CSigningCert.pfx que você criou.
9. Digite a senha para o certificado.
10. Clique em Criar.

Adicionar um provedor de declarações

Se quiser que os usuários entrem usando uma conta do Salesforce, você precisa definir a conta como um provedor de declarações com o qual o Azure AD B2C pode se comunicar por meio de um ponto de extremidade. O ponto de extremidade fornece um conjunto de declarações que são usadas pelo Azure AD B2C para verificar se um usuário específico foi autenticado.

Você pode definir uma conta do Salesforce como um provedor de declarações adicionando-a ao elemento ClaimsProviders no arquivo de extensão da sua política. Para obter mais informações, consulte definir um provedor de identidade SAML.

1. Abra o TrustFrameworkExtensions.xml.

2. Encontre o elemento ClaimsProviders . Se não existir, adicione-o sob o elemento raiz.

3. Adicione um novo ClaimsProvider da seguinte maneira:

   <ClaimsProvider>
     <Domain>salesforce.com</Domain>
     <DisplayName>Salesforce</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="Salesforce-SAML2">
         <DisplayName>Salesforce</DisplayName>
         <Description>Login with your Salesforce account</Description>
         <Protocol Name="SAML2"/>
         <Metadata>
           <Item Key="WantsEncryptedAssertions">false</Item>
           <Item Key="WantsSignedAssertions">false</Item>
           <Item Key="PartnerEntity">https://contoso-dev-ed.my.salesforce.com/.well-known/samlidp.xml</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SAMLSigningCert"/>
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="userId"/>
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name"/>
           <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name"/>
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email"/>
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="username"/>
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication"/>
           <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="salesforce.com" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-idp"/>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Atualize o valor de PartnerEntity com a URL de metadados do Salesforce copiada anteriormente.

5. Atualize o valor de ambas as instâncias de StorageReferenceId para o nome da chave do seu certificado de assinatura. Por exemplo, B2C_1A_SAMLSigningCert.

6. Localize a <ClaimsProviders> seção e adicione o seguinte trecho XML. Se a sua política já contiver o perfil técnico, avance para o SM-Saml-idp passo seguinte. Para obter mais informações, consulte Gerenciamento de sessão de logon único.

   <ClaimsProvider>
     <DisplayName>Session Management</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="SM-Saml-idp">
         <DisplayName>Session Management Provider</DisplayName>
         <Protocol Name="Proprietary" Handler="Web.TPEngine.SSO.SamlSSOSessionProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
         <Metadata>
           <Item Key="IncludeSessionIndex">false</Item>
           <Item Key="RegisterServiceProviders">false</Item>
         </Metadata>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

7. Guarde o ficheiro.

Adicionar uma jornada do usuário

Neste ponto, o provedor de identidade foi configurado, mas ainda não está disponível em nenhuma das páginas de entrada. Se você não tiver sua própria jornada de usuário personalizada, crie uma duplicata de uma jornada de usuário de modelo existente, caso contrário, continue para a próxima etapa.

1. Abra o arquivo TrustFrameworkBase.xml do pacote inicial.
2. Localize e copie todo o conteúdo do elemento UserJourney que inclui Id="SignUpOrSignIn"o .
3. Abra o TrustFrameworkExtensions.xml e localize o elemento UserJourneys. Se o elemento não existir, adicione um.
4. Cole todo o conteúdo do elemento UserJourney que você copiou como filho do elemento UserJourneys .
5. Renomeie o ID da jornada do usuário. Por exemplo, Id="CustomSignUpSignIn".

Adicionar o provedor de identidade a uma jornada do usuário

Agora que você tem uma jornada do usuário, adicione o novo provedor de identidade à jornada do usuário. Primeiro, adicione um botão de início de sessão e, em seguida, associe o botão a uma ação. A ação é o perfil técnico que você criou anteriormente.

1. Encontre o elemento da etapa de orquestração que inclui Type="CombinedSignInAndSignUp"o , ou Type="ClaimsProviderSelection" na jornada do usuário. Geralmente é o primeiro passo da orquestração. O elemento ClaimsProviderSelections contém uma lista de provedores de identidade com os quais um usuário pode entrar. A ordem dos elementos controla a ordem dos botões de entrada apresentados ao usuário. Adicione um elemento XML ClaimsProviderSelection . Defina o valor de TargetClaimsExchangeId como um nome amigável.

2. Na próxima etapa de orquestração, adicione um elemento ClaimsExchange . Defina o Id como o valor do ID de troca de declarações de destino. Atualize o valor de TechnicalProfileReferenceId para o Id do perfil técnico criado anteriormente.

O XML a seguir demonstra as duas primeiras etapas de orquestração de uma jornada do usuário com o provedor de identidade:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="SalesforceExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="SalesforceExchange" TechnicalProfileReferenceId="Salesforce-SAML2" />
  </ClaimsExchanges>
</OrchestrationStep>

Configurar a política de terceira parte confiável

A política de terceira parte confiável, por exemplo SignUpSignIn.xml, especifica a jornada do usuário que o Azure AD B2C executará. Encontre o elemento DefaultUserJourney na terceira parte confiável. Atualize o ReferenceId para corresponder ao ID de jornada do usuário, no qual você adicionou o provedor de identidade.

No exemplo a seguir, para a jornada do CustomSignUpSignIn usuário, o ReferenceId é definido como CustomSignUpSignIn:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Carregar a política personalizada

1. Inicie sessão no portal do Azure.
2. Selecione o ícone Diretório + Assinatura na barra de ferramentas do portal e selecione o diretório que contém seu locatário do Azure AD B2C.
3. No portal do Azure, procure e selecione Azure AD B2C.
4. Em Políticas, selecione Identity Experience Framework.
5. Selecione Carregar Política Personalizada e, em seguida, carregue os dois ficheiros de política que alterou, pela seguinte ordem: a política de extensão, por exemplo TrustFrameworkExtensions.xml, e, em seguida, a política de entidade confiadora, como SignUpSignIn.xml.

Testar sua política personalizada

1. Selecione sua política de terceira parte confiável, por exemplo B2C_1A_signup_signin.
2. Em Aplicativo, selecione um aplicativo Web que você registrou anteriormente. O URL de resposta deve mostrar https://jwt.ms.
3. Selecione o botão Executar agora .
4. Na página de inscrição ou login, selecione Salesforce para entrar com a conta do Salesforce.

Se o processo de entrada for bem-sucedido, seu navegador será redirecionado para https://jwt.ms, que exibe o conteúdo do token retornado pelo Azure AD B2C.