Настройка регистрации и входа в систему с помощью поставщика удостоверений SAML и Azure Active Directory B2C

Эта функция доступна только для пользовательских политик. Для действий по настройке выберите пользовательскую политику в предыдущем селекторе.

Обзор сценария

Вы можете настроить Azure AD B2C, чтобы пользователи могли входить в приложение с учетными данными от внешних социальных или корпоративных поставщиков удостоверений SAML (IdP). Когда Azure AD B2C объединяется с поставщиком удостоверений SAML, он выступает в качестве поставщика услуг , инициирующего запрос SAML к поставщику удостоверений SAML, и ожидает ответа SAML. На следующей схеме:

1. Приложение инициирует запрос авторизации в Azure AD B2C. Приложение может быть приложением OAuth 2.0 или OpenId Connect или поставщиком услуг SAML.
2. На странице входа Azure AD B2C пользователь выбирает вход с помощью учетной записи поставщика удостоверений SAML (например, Contoso). Azure AD B2C инициирует запрос авторизации SAML и отправляет пользователя поставщику удостоверений SAML, чтобы завершить вход.
3. Провайдер удостоверений SAML возвращает SAML-ответ.
4. Azure AD B2C проверяет токен SAML, извлекает утверждения, выдает собственный токен и возвращает пользователя в приложение.

Предпосылки

• Выполните действия, описанные в статье "Начало работы с настраиваемыми политиками в Active Directory B2C". В этом руководстве описано, как обновить пользовательские файлы политики для использования конфигурации клиента Azure AD B2C.
• Если вы еще не зарегистрировали веб-приложение, зарегистрируйте его, выполнив действия, описанные в регистрации веб-приложения.

Компоненты решения

Для этого сценария требуются следующие компоненты:

• Поставщик удостоверений SAML, который способен принимать, декодировать и отвечать на запросы SAML от Azure AD B2C.
• Общедоступная конечная точка метаданных SAML для службы удостоверений.
• Клиент Azure AD B2C.

Создание ключа политики

Чтобы установить доверие между Azure AD B2C и поставщиком удостоверений SAML, необходимо предоставить действительный сертификат X509 с закрытым ключом. Azure AD B2C подписывает запросы SAML с помощью закрытого ключа сертификата. Поставщик удостоверений проверяет запрос с помощью открытого ключа сертификата. Открытый ключ доступен через метаданные технического профиля. Кроме того, вы можете вручную отправить файл .cer в поставщик удостоверений SAML.

Самозаверяющий сертификат является приемлемым для большинства сценариев. Для рабочих сред рекомендуется использовать сертификат X509, выданный центром сертификации. Кроме того, как описано далее в этом документе, для непроизводственных сред можно отключить подписывание SAML на обеих сторонах.

Получение сертификата

Если у вас еще нет сертификата, можно использовать самозаверяющий сертификат. Самозаверяющий сертификат — это сертификат безопасности, который не подписан центром сертификации (ЦС) и не предоставляет гарантии безопасности сертификата, подписанного ЦС.

Отправка сертификата

Необходимо сохранить сертификат в клиенте Azure AD B2C.

1. Войдите на портал Azure.
2. Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.
3. Выберите все службы в левом верхнем углу портала Azure, а затем найдите и выберите Azure AD B2C.
4. На странице "Обзор" выберите Identity Experience Framework.
5. Выберите ключи политики и нажмите кнопку "Добавить".
6. В разделе "Параметры" выберите Upload.
7. Введите имя для ключа политики. Например: SAMLSigningCert. Префикс B2C_1A_ добавляется автоматически в имя ключа.
8. Перейдите к файлу PFX сертификата и выберите его с закрытым ключом.
9. Нажмите кнопку Создать.

Настройка технического профиля SAML

Определите поставщика удостоверений SAML, добавив его в элемент ClaimsProviders в файле расширения вашей политики. Поставщики утверждений содержат технический профиль SAML, который определяет конечные точки и протоколы, необходимые для коммуникации с поставщиком удостоверений SAML. Чтобы добавить поставщика утверждений с техническим профилем SAML, выполните следующее:

1. Откройте TrustFrameworkExtensions.xml.

2. Найдите элемент ClaimsProviders . Если он не существует, добавьте его в корневой элемент.

3. Добавьте новый ClaimsProvider следующим образом:

   <ClaimsProvider>
     <Domain>Contoso.com</Domain>
     <DisplayName>Contoso</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="Contoso-SAML2">
         <DisplayName>Contoso</DisplayName>
         <Description>Login with your SAML identity provider account</Description>
         <Protocol Name="SAML2"/>
         <Metadata>
           <Item Key="PartnerEntity">https://your-AD-FS-domain/federationmetadata/2007-06/federationmetadata.xml</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SAMLSigningCert"/>
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="assertionSubjectName" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="first_name" />
           <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="last_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="http://schemas.microsoft.com/identity/claims/displayname" />
           <OutputClaim ClaimTypeReferenceId="email"  />
           <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="contoso.com" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-idp"/>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

Обновите следующие XML-элементы с соответствующим значением:

Сопоставление утверждений

Элемент OutputClaims содержит список утверждений, возвращаемых поставщиком удостоверений SAML. Сопоставляйте название требования, определенного в вашей политике, с именем утверждения, определенным в поставщике удостоверений. Проверьте у вашего поставщика удостоверений список утверждений. Дополнительные сведения см. в разделе "Сопоставление утверждений".

В приведенном выше примере Contoso-SAML2 содержатся утверждения, возвращаемые поставщиком удостоверений SAML:

• Утверждение claimSubjectName сопоставляется с утверждением issuerUserId .
• Утверждение first_name сопоставлено с заданным именем.
• Утверждение last_name сопоставляется с утверждением фамилии .
• Утверждение http://schemas.microsoft.com/identity/claims/displayname сопоставляется с утверждением displayName .
• Утверждение email без ассоциации с именами.

Технический профиль также возвращает утверждения, которые не возвращаются поставщиком удостоверений:

• Утверждение identityProvider , содержащее имя поставщика удостоверений.
• Утверждение authenticationSource со значением по умолчанию socialIdpAuthentication.

Добавление технического профиля сеанса SAML

Если у вас еще нет технического профиля сеанса SM-Saml-idp SAML, добавьте его в политику расширения. <ClaimsProviders> Найдите раздел и добавьте следующий фрагмент XML. Если политика уже содержит SM-Saml-idp технический профиль, перейдите к следующему шагу. Дополнительные сведения см. в разделе "Управление сеансами единого входа".

<ClaimsProvider>
  <DisplayName>Session Management</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="SM-Saml-idp">
      <DisplayName>Session Management Provider</DisplayName>
      <Protocol Name="Proprietary" Handler="Web.TPEngine.SSO.SamlSSOSessionProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
      <Metadata>
        <Item Key="IncludeSessionIndex">false</Item>
        <Item Key="RegisterServiceProviders">false</Item>
      </Metadata>
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

Добавить пользовательский сценарий

На этом этапе поставщик удостоверений настроен, но он еще не доступен на любой из страниц входа. Если у вас нет собственного пользовательского пути, создайте дубликат существующего пути пользователя шаблона, в противном случае перейдите к следующему шагу.

1. Откройте файлTrustFrameworkBase.xml из начального пакета.
2. Найдите и скопируйте все содержимое элемента UserJourney , который включает в себя Id="SignUpOrSignIn".
3. Откройте TrustFrameworkExtensions.xml и найдите элемент UserJourneys . Если элемент не существует, добавьте его.
4. Вставьте все содержимое элемента UserJourney , скопированного в качестве дочернего элемента UserJourneys .
5. Переименуйте идентификатор пути пользователя. Например: Id="CustomSignUpSignIn".

Добавьте поставщика удостоверений в путь пользователя

Теперь, когда у вас есть путь пользователя, добавьте нового поставщика идентификации в этот путь. Сначала вы добавляете кнопку входа, а затем связываете кнопку с действием. Действие — это технический профиль, который вы создали ранее.

1. Найдите элемент шага оркестрации, который включает в себя Type="CombinedSignInAndSignUp" или Type="ClaimsProviderSelection" в процессе работы пользователя. Обычно это первый шаг оркестрации. Элемент ClaimsProviderSelections содержит список поставщиков удостоверений, с которыми пользователь может войти. Порядок элементов определяет порядок кнопок входа, представленных пользователю. Добавьте XML-элемент ClaimsProviderSelection . Задайте для параметра TargetClaimsExchangeId понятное имя.

2. На следующем шаге оркестрации добавьте элемент ClaimsExchange . Установите Id на значение идентификатора целевого обмена утверждениями. Обновите значение TechnicalProfileReferenceId на идентификатор ранее созданного технического профиля.

Следующий XML-код демонстрирует первые два этапа оркестрации взаимодействия пользователя с поставщиком удостоверений:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="ContosoExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="ContosoExchange" TechnicalProfileReferenceId="Contoso-SAML2" />
  </ClaimsExchanges>
</OrchestrationStep>

Настройте политику доверяющей стороны

Политика проверяющей стороны, например SignUpSignIn.xml, указывает пользовательский сценарий, который будет выполнять Azure AD B2C. Найдите элемент DefaultUserJourney в поддерживающей стороне. Обновите ReferenceId, чтобы он соответствовал идентификатору пути пользователя, где вы добавили провайдера идентификации.

В следующем примере для CustomSignUpSignIn пути пользователя для параметра ReferenceId задано значение CustomSignUpSignIn:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Отправка настраиваемой политики

1. Войдите на портал Azure.
2. Щелкните значок каталога и подписки на панели инструментов портала, а затем выберите каталог, содержащий клиент Azure AD B2C.
3. В портале Azure найдите и выберите Azure AD B2C.
4. В разделе "Политики" выберите Identity Experience Framework.
5. Выберите " Отправить настраиваемую политику", а затем отправьте два измененных файла политики в следующем порядке: политика расширения, например TrustFrameworkExtensions.xml, политика проверяющей стороны, например SignUpSignIn.xml.

Настройте поставщика удостоверений SAML

После настройки политики необходимо настроить поставщика удостоверений SAML с помощью метаданных Azure AD B2C SAML. Метаданные SAML — это сведения, используемые в протоколе SAML для предоставления конфигурации политики поставщику услуг. Он определяет расположение служб, таких как вход и выход, сертификаты, метод входа и многое другое.

Каждый поставщик удостоверений SAML требует выполнения различных шагов для настройки поставщика услуг. Некоторые поставщики удостоверений SAML запрашивают метаданные Azure AD B2C, в то время как другие требуют самостоятельно пройтись по файлу метаданных и предоставить сведения. Обратитесь к документации поставщика удостоверений для получения рекомендаций.

В следующем примере показан URL-адрес метаданных SAML технического профиля Azure AD B2C:

https://<your-tenant-name>.b2clogin.com/<your-tenant-name>.onmicrosoft.com/<your-policy>/samlp/metadata?idptp=<your-technical-profile>

При использовании личного домена используйте следующий формат:

https://your-domain-name/<your-tenant-name>.onmicrosoft.com/<your-policy>/samlp/metadata?idptp=<your-technical-profile>

Замените следующие значения:

• имя клиента с именем клиента, например your-tenant.onmicrosoft.com.
• ваше-доменное-имя с пользовательским доменным именем, например login.contoso.com.
• ваш полис с именем вашего полиса. Например, B2C_1A_signup_signin_adfs.
• ваш технический профиль с именем технического профиля поставщика удостоверений SAML. Например, Contoso-SAML2.

Откройте браузер и перейдите по URL-адресу. Убедитесь, что у вас есть правильный URL-адрес и у вас есть доступ к XML-файлу метаданных.

Проверка настраиваемой политики

1. Войдите на портал Azure.
2. Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.
3. В портале Azure найдите и выберите Azure AD B2C.
4. В разделе "Политики" выберите Identity Experience Framework
5. Выберите политику доверенной стороны, например B2C_1A_signup_signin.
6. Для приложения выберите веб-приложение, которое вы ранее зарегистрировали. В поле URL-адрес ответа должно содержаться значение https://jwt.ms.
7. Нажмите кнопку "Запустить сейчас ".
8. На странице регистрации или входа выберите Contoso , чтобы войти с помощью учетной записи Contoso.

Если процесс входа выполнен успешно, браузер перенаправляется на https://jwt.ms, где отображается содержимое токена, возвращаемого Azure AD B2C.

Дальнейшие шаги

• Настройка параметров поставщика удостоверений SAML с помощью Azure Active Directory B2C