Azure Active Directory B2C özel ilkesinde SAML belirteci veren için teknik profil tanımlama
Not
Azure Active Directory B2C'de özel ilkeler öncelikli olarak karmaşık senaryoları ele almak için tasarlanmıştır. Çoğu senaryoda yerleşik kullanıcı akışlarını kullanmanızı öneririz. Bunu yapmadıysanız , Active Directory B2C'de özel ilkeleri kullanmaya başlama bölümünde özel ilke başlangıç paketi hakkında bilgi edinin.
Azure Active Directory B2C (Azure AD B2C), her kimlik doğrulama akışını işlerken çeşitli türlerde güvenlik belirteçleri yayar. SAML belirteci verenin teknik profili, bağlı olan taraf uygulamasına (hizmet sağlayıcısı) geri döndürülen bir SAML belirteci yayar. Bu teknik profil genellikle kullanıcı yolculuğundaki son düzenleme adımıdır.
Protokol
Protocol öğesinin Name özniteliğinin olarak SAML2ayarlanması gerekir. OutputTokenFormat öğesini olarak SAML2ayarlayın.
Aşağıdaki örnekte için Saml2AssertionIssuerbir teknik profil gösterilmektedir:
<TechnicalProfile Id="Saml2AssertionIssuer">
<DisplayName>Token Issuer</DisplayName>
<Protocol Name="SAML2"/>
<OutputTokenFormat>SAML2</OutputTokenFormat>
<Metadata>
<Item Key="IssuerUri">https://tenant-name.b2clogin.com/tenant-name.onmicrosoft.com/B2C_1A_signup_signin_SAML</Item>
<Item Key="TokenNotBeforeSkewInSeconds">600</Item>
</Metadata>
<CryptographicKeys>
<Key Id="MetadataSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
<Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SamlIdpCert"/>
</CryptographicKeys>
<InputClaims/>
<OutputClaims/>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-issuer"/>
</TechnicalProfile>
Giriş, çıkış ve kalıcı talepler
InputClaims, OutputClaims ve PersistClaims öğeleri boş veya yok. InutputClaimsTransformations ve OutputClaimsTransformations öğeleri de yoktur.
Meta veri
| Öznitelik | Gerekli | Açıklama |
|---|---|---|
| VerenUri | No | SAML yanıtında görünen verenin adı. Değer, bağlı olan taraf uygulamasında yapılandırılan adla aynı olmalıdır. |
| XmlSignatureAlgorithm | No | Azure AD B2C'nin SAML Onayını imzalamak için kullandığı yöntem. Olası değerler: Sha256, Sha384, Sha512veya Sha1. İmza algoritmasını her iki tarafta da aynı değerle yapılandırdığınızdan emin olun. Yalnızca sertifikanızın desteklediği algoritmayı kullanın. SAML Yanıtını yapılandırmak için bkz. SAML uygulaması kaydetme seçenekleri |
| TokenNotBeforeSkewInSeconds | No | Geçerlilik döneminin başlangıcını işaretleyen zaman damgası için çarpıklığı tamsayı olarak belirtir. Bu sayı ne kadar yüksek olursa, geçerlilik süresi bağlı olan taraf için taleplerin verildiği zamana göre o kadar geriye doğru başlar. Örneğin TokenNotBeforeSkewInSeconds 60 saniye olarak ayarlandığında belirteç 13:05:10 UTC'de verilirse belirteç 13:04:10 UTC'den itibaren geçerlidir. Varsayılan değer 0’dır. En büyük değer 3600'dür (bir saat). |
| TokenLifeTimeInSeconds | No | SAML Onaylama işleminin ömrünü belirtir. Bu değer, yukarıda başvuruda bulunan NotBefore değerinden saniye olarak alınır. Varsayılan değer 300 saniyedir (5 Dk). |
Şifreleme anahtarları
CryptographicKeys öğesi aşağıdaki öznitelikleri içerir:
| Öznitelik | Gerekli | Açıklama |
|---|---|---|
| MetadataSigning | Yes | SAML meta verilerini imzalamak için kullanılacak X509 sertifikası (RSA anahtar kümesi). Azure AD B2C, meta verileri imzalamak için bu anahtarı kullanır. |
| SamlMessageSigning | Yes | SAML iletilerini imzalamak için kullanılacak X509 sertifikasını (RSA anahtar kümesi) belirtin. Azure AD B2C, bağlı olan tarafa gönderilecek yanıtı <samlp:Response> imzalamak için bu anahtarı kullanır. |
| SamlAssertionSigning | No | SAML belirtecinin SAML onay <saml:Assertion> öğesini imzalamak için kullanılacak X509 sertifikasını (RSA anahtar kümesi) belirtin. Sağlanmadıysa, SamlMessageSigning bunun yerine şifreleme anahtarı kullanılır. |
Oturum yönetimi
Bağlı olan taraf uygulaması arasındaki Azure AD B2C SAML oturumlarını yapılandırmak için öğesinin UseTechnicalProfileForSessionManagement özniteliği, SamlSSOSessionProvider SSO oturumuna başvuru.
Sonraki adımlar
SAML veren teknik profili kullanma örneği için aşağıdaki makaleye bakın: