Definiera en teknisk profil för en SAML-token utfärdare i en anpassad princip för Azure Active Directory B2C
Anteckning
I Azure Active Directory B2C är anpassade principer främst utformade för att hantera komplexa scenarier. I de flesta fall rekommenderar vi att du använder inbyggda användarflöden. Om du inte har gjort det kan du läsa mer om startpaketet för anpassade principer i Kom igång med anpassade principer i Active Directory B2C.
Azure Active Directory B2C (Azure AD B2C) genererar flera typer av säkerhetstoken när varje autentiseringsflöde bearbetas. En teknisk profil för en SAML-tokenutfärdare genererar en SAML-token som returneras till den förlitande partens program (tjänstleverantör). Den här tekniska profilen är vanligtvis det sista orkestreringssteget i användarresan.
Protokoll
Attributet Name för protocol-elementet måste anges till .SAML2 Ange elementet OutputTokenFormat till SAML2.
I följande exempel visas en teknisk profil för Saml2AssertionIssuer:
<TechnicalProfile Id="Saml2AssertionIssuer">
<DisplayName>Token Issuer</DisplayName>
<Protocol Name="SAML2"/>
<OutputTokenFormat>SAML2</OutputTokenFormat>
<Metadata>
<Item Key="IssuerUri">https://tenant-name.b2clogin.com/tenant-name.onmicrosoft.com/B2C_1A_signup_signin_SAML</Item>
<Item Key="TokenNotBeforeSkewInSeconds">600</Item>
</Metadata>
<CryptographicKeys>
<Key Id="MetadataSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
<Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
</CryptographicKeys>
<InputClaims/>
<OutputClaims/>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-issuer"/>
</TechnicalProfile>
Indata, utdata och beständiga anspråk
Elementen InputClaims, OutputClaims och PersistClaims är tomma eller saknas. Elementen InutputClaimsTransformations och OutputClaimsTransformations saknas också.
Metadata
| Attribut | Krävs | Beskrivning |
|---|---|---|
| IssuerUri | No | Utfärdarnamnet som visas i SAML-svaret. Värdet ska vara samma namn som konfigurerats i programmet för förlitande part. |
| XmlSignatureAlgorithm | No | Den metod som Azure AD B2C använder för att signera SAML-försäkran. Möjliga värden: Sha256, Sha384, Sha512eller Sha1. Se till att du konfigurerar signaturalgoritmen på båda sidor med samma värde. Använd bara den algoritm som certifikatet stöder. Information om hur du konfigurerar SAML-svaret finns i Alternativ för att registrera ett SAML-program |
| TokenNotBeforeSkewInSeconds | No | Anger snedställning, som ett heltal, för tidsstämpeln som markerar början av giltighetsperioden. Ju högre det här talet är, desto längre tillbaka i tiden börjar giltighetsperioden med avseende på den tid då anspråken utfärdas för den förlitande parten. När tokenNotBeforeSkewInSeconds till exempel är inställd på 60 sekunder, om token utfärdas kl. 13:05:10 UTC, är token giltig från 13:04:10 UTC. Standardvärdet är 0. Det maximala värdet är 3600 (en timme). |
| TokenLifeTimeInSeconds | No | Anger livslängden för SAML-försäkran. Det här värdet är i sekunder från notBefore-värdet som refereras ovan. Standardvärdet är 300 sekunder (5 min). |
Krypteringsnycklar
Elementet CryptographicKeys innehåller följande attribut:
| Attribut | Krävs | Beskrivning |
|---|---|---|
| MetadataSignering | Yes | X509-certifikatet (RSA-nyckeluppsättning) som ska användas för att signera SAML-metadata. Azure AD B2C använder den här nyckeln för att signera metadata. |
| SamlMessageSigning | Yes | Ange X509-certifikatet (RSA-nyckeluppsättning) som ska användas för att signera SAML-meddelanden. Azure AD B2C använder den här nyckeln för att signera svaret <samlp:Response> som skickas till den förlitande parten. |
| SamlAssertionSigning | No | Ange X509-certifikatet (RSA-nyckeluppsättningen) som ska användas för att signera SAML-kontrollelementet <saml:Assertion> i SAML-token. Om den inte anges används den SamlMessageSigning kryptografiska nyckeln i stället. |
Sessionshantering
För att konfigurera Azure AD B2C SAML-sessioner mellan ett förlitande partprogram refererar attributet för -elementet UseTechnicalProfileForSessionManagement till SamlSSOSessionProvider SSO-session.
Nästa steg
I följande artikel finns exempel på hur du använder en teknisk profil för SAML-utfärdare: