我已成功为单个服务提供商通过SAML将Azure B2C配置为IDP . 即使它的工作原理,在这个设置中还有很多我不理解的部分 . 我将描述我到目前为止所做的事情,然后再提问 .
假设我有两个服务提供商,SP1 / SP2都需要SAML和一个注册/登录页面 . SP1要求loyality_id作为自定义属性,SP2要求product_name属性 .
这是source code有效 . 信用/感谢blog
以下是配置的高级摘要 .
SAML for SP1(服务提供商1):
-
向B2C租户添加签名和加密密钥
-
注册Identity Experience Framework应用程序
-
在Azure Active Directory中创建Web应用程序IdentityExperienceFramework
-
在Azure Active Directory中创建本机应用程序ProxyIdentityExperienceFramework
-
从LocalAccounts的入门包开始作为基础
-
将Saml2AssertionIssuer添加到基本策略
-
将用户旅程SignInSaml添加到基本策略
-
在扩展策略中覆盖"Local Account SignIn"声明提供程序,并从之前创建的应用程序中添加"client_id"和"IdTokenAudience"的替换值
-
带有RelyingParty for SP1的策略文件
-
这描述了添加到SAML响应的输出声明
SP1的注册/登录策略:
-
创建内置注册和sigin策略
-
在Azure B2C刀片中创建应用程序
到目前为止,通过此设置,我在Azure Active Directory中有两个用于自定义策略的应用程序和一个用于内置策略的Azure B2C刀片中的一个应用程序 .
扩展属性只能在Application对象上注册,即使它们可能包含User的数据 . 该属性附在申请表上 . 必须为Application对象授予写入权限才能注册扩展属性 .
-
以上段落所指的"Application"是什么?
-
应用程序IdentityExperienceFramework / ProxyIdentityExperienceFramework的目的是什么
-
要设置SP2,我是否需要为IdentityExperienceFramework / ProxyIdentityExperienceFramework创建单独的Azure Active目录应用程序?或者我可以使用相同的?自定义属性如何影响这一点?
-
如何在SAML通过自定义策略并且内置策略内置登录/注册的情况下设置自定义属性
-
在这种情况下,在什么App上下文中创建了自定义属性?
我很欣赏任何指针 .
谢谢
1 回答
该应用程序是在“创建用于存储扩展属性的新应用程序”部分中创建的应用程序 .
应用程序的目的是使用本地帐户启用登录 . 可以在多个策略中使用相同的应用程序 .
自定义属性与在Azure AD级别的应用程序注册中创建的应用程序相关,并且具有配置文档中详细说明的权限 .
在我的Github配置文件中,您可以找到B2C的不同实现作为SAML发布者方案:https://github.com/marcelodiiorio/My-Azure-AD-B2C-use-cases .
如果您有更多问题,请告诉我 .