Я успешно настроил Azure B2C как IDP через SAML для одного поставщика услуг. Есть много вещей, которые я не понимаю в этой настройке, хотя она и работает. Я опишу то, что у меня есть на данный момент, а затем задам вопросы.

Допустим, у меня есть два поставщика услуг, SP1 / SP2 оба требуют SAML и страницу для регистрации / входа. SP1 требует loyality_id в качестве настраиваемого атрибута, а SP2 требует атрибута product_name.

Вот работающий исходный код. Кредит / Спасибо этому блогу < / а>

Ниже приведен общий обзор конфигурации.

SAML для SP1 (поставщик услуг 1):

  • Добавьте ключи подписи и шифрования к клиенту B2C
  • Регистрация приложений Identity Experience Framework
    • Создание веб-приложения IdentityExperienceFramework в Azure Active Directory
    • Создание собственного приложения ProxyIdentityExperienceFramework в Azure Active Directory
  • Начните со стартового пакета для LocalAccounts в качестве основы
  • Добавить Saml2AssertionIssuer в базовую политику
  • Добавить путь пользователя SignInSaml к базовой политике
  • В политике расширения переопределите поставщика утверждений «Вход в локальную учетную запись» и добавьте замещающие значения для «client_id» и «IdTokenAudience» из приложений, которые были созданы ранее.
  • Файл политики с RelyingParty для SP1
    • Здесь описываются выходные утверждения, которые добавляются в ответ SAML.

Политики регистрации / входа для SP1:

  • Создайте встроенную политику регистрации и подписи
  • Создание приложения в колонке Azure B2C

Пока что с этой настройкой у меня есть два приложения в Azure Active Directory для настраиваемых политик и одно приложение в колонке Azure B2C для встроенной политики.

Согласно https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-create-custom-attributes-profile-edit-custom,

Свойства расширения могут быть зарегистрированы только в объекте Application, даже если они могут содержать данные для пользователя. Недвижимость прилагается к заявке. Для регистрации свойства расширения объекту Application должен быть предоставлен доступ на запись.

  • Что такое «Приложение», о котором идет речь в предыдущем абзаце?
  • Какова цель приложений IdentityExperienceFramework / ProxyIdentityExperienceFramework
  • Нужно ли для установки пакета обновления 2 (SP2) создавать отдельные приложения Azure Active Directory для IdentityExperienceFramework / ProxyIdentityExperienceFramework? Или можно использовать такие же? Как на это влияют настраиваемые атрибуты?
  • Как настроить настраиваемые атрибуты в этом случае, когда SAML используется через настраиваемую политику, а вход / регистрация - встроенная политика
  • В этом случае, в каком контексте приложения создаются настраиваемые атрибуты?

Я ценю любые указатели.

Благодарность

1
Afroz 19 Апр 2018 в 23:08

1 ответ

Лучший ответ

Это приложение, созданное в разделе «Создание нового приложения для хранения свойств расширения».

Цель приложения - включить вход с использованием локальных учетных записей. Одни и те же приложения можно использовать в нескольких политиках.

Настраиваемые атрибуты связаны с приложением, созданным при регистрации приложений на уровне Azure AD, и с разрешениями, подробно описанными в документации по конфигурации.

В моем профиле Github вы можете найти другую реализацию сценария B2C в качестве эмитента SAML: https://github.com/marcelodiiorio/My-Azure-AD-B2C-use-cases.

Скажите, если у вас есть еще вопросы.

1
Marcelo P. Di Iorio - MSFT 3 Май 2018 в 13:02