适用于多个服务提供商的 Azure B2C IDP SAML
Azure B2C IDP SAML for multiple service providers
我已经通过 SAML 为单个服务提供商成功地将 Azure B2C 配置为 IDP。在这个设置中有很多我不理解的部分,即使它可以工作。
我将描述我到目前为止的情况,然后再提问。
假设我有两个服务提供商,SP1/SP2 都需要 SAML 和 signup/signin 的页面。 SP1 需要 loyality_id 作为自定义属性,SP2 需要 product_name 属性。
这是有效的 source code。
Credit/Thanks到这个blog
以下是配置的高级摘要。
SP1 的 SAML(服务提供商 1):
- 向 B2C 租户添加签名和加密密钥
- 注册身份体验框架应用程序
- 在 Azure Active Directory 中创建网络应用 IdentityExperienceFramework
- 在 Azure Active Directory 中创建本机应用 ProxyIdentityExperienceFramework
- 从 LocalAccounts 的入门包开始作为基础
- 将 Saml2AssertionIssuer 添加到基本策略
- 将用户旅程 SignInSaml 添加到基本策略
- 在扩展策略中覆盖 "Local Account SignIn" 声明提供者并为 "client_id" 和 "IdTokenAudience" 添加替代值,这些值来自之前创建的应用
- SP1 的 RelyingParty 策略文件
- 这描述了添加到 SAML 响应的输出声明
Signup/signin SP1 策略:
- 创建 built-in 注册和登录策略
- 在 Azure B2C 中创建应用程序blade
到目前为止,通过此设置,我在 Azure Active Directory 中有两个应用程序用于自定义策略,在 Azure B2C blade 中有一个应用程序用于 built-in 策略。
Extension properties can only be registered on an Application object
even though they may contain data for a User. The property is attached
to the application. The Application object must be granted write
access to register an extension property.
- 上面的"Application"指的是什么?
- 应用程序的用途是什么IdentityExperienceFramework/ProxyIdentityExperienceFramework
- 要设置 SP2,我是否需要为 IdentityExperienceFramework/ProxyIdentityExperienceFramework 创建单独的 Azure 活动目录应用程序?或者我可以使用相同的吗?自定义属性如何影响这一点?
- 在这种情况下,我如何设置自定义属性,其中 SAML 通过自定义策略,Signin/Signup 是内置策略
- 在这种情况下,自定义属性是在什么 App 上下文中创建的?
感谢任何指点。
谢谢
该应用程序是在 "Creating a new application to store the extension properties" 部分创建的应用程序。
该应用程序的目的是允许使用本地帐户登录。可以跨多个策略使用相同的应用程序。
自定义属性与在 Azure AD 级别的应用程序注册中创建的应用程序相关,并具有配置文档中详述的权限。
在我的 Github 个人资料中,您可以找到 B2C 作为 SAML 颁发者方案的不同实现:https://github.com/marcelodiiorio/My-Azure-AD-B2C-use-cases。
如果您有更多问题,请告诉我。
我已经通过 SAML 为单个服务提供商成功地将 Azure B2C 配置为 IDP。在这个设置中有很多我不理解的部分,即使它可以工作。 我将描述我到目前为止的情况,然后再提问。
假设我有两个服务提供商,SP1/SP2 都需要 SAML 和 signup/signin 的页面。 SP1 需要 loyality_id 作为自定义属性,SP2 需要 product_name 属性。
这是有效的 source code。 Credit/Thanks到这个blog
以下是配置的高级摘要。
SP1 的 SAML(服务提供商 1):
- 向 B2C 租户添加签名和加密密钥
- 注册身份体验框架应用程序
- 在 Azure Active Directory 中创建网络应用 IdentityExperienceFramework
- 在 Azure Active Directory 中创建本机应用 ProxyIdentityExperienceFramework
- 从 LocalAccounts 的入门包开始作为基础
- 将 Saml2AssertionIssuer 添加到基本策略
- 将用户旅程 SignInSaml 添加到基本策略
- 在扩展策略中覆盖 "Local Account SignIn" 声明提供者并为 "client_id" 和 "IdTokenAudience" 添加替代值,这些值来自之前创建的应用
- SP1 的 RelyingParty 策略文件
- 这描述了添加到 SAML 响应的输出声明
Signup/signin SP1 策略:
- 创建 built-in 注册和登录策略
- 在 Azure B2C 中创建应用程序blade
到目前为止,通过此设置,我在 Azure Active Directory 中有两个应用程序用于自定义策略,在 Azure B2C blade 中有一个应用程序用于 built-in 策略。
Extension properties can only be registered on an Application object even though they may contain data for a User. The property is attached to the application. The Application object must be granted write access to register an extension property.
- 上面的"Application"指的是什么?
- 应用程序的用途是什么IdentityExperienceFramework/ProxyIdentityExperienceFramework
- 要设置 SP2,我是否需要为 IdentityExperienceFramework/ProxyIdentityExperienceFramework 创建单独的 Azure 活动目录应用程序?或者我可以使用相同的吗?自定义属性如何影响这一点?
- 在这种情况下,我如何设置自定义属性,其中 SAML 通过自定义策略,Signin/Signup 是内置策略
- 在这种情况下,自定义属性是在什么 App 上下文中创建的?
感谢任何指点。
谢谢
该应用程序是在 "Creating a new application to store the extension properties" 部分创建的应用程序。
该应用程序的目的是允许使用本地帐户登录。可以跨多个策略使用相同的应用程序。
自定义属性与在 Azure AD 级别的应用程序注册中创建的应用程序相关,并具有配置文档中详述的权限。
在我的 Github 个人资料中,您可以找到 B2C 作为 SAML 颁发者方案的不同实现:https://github.com/marcelodiiorio/My-Azure-AD-B2C-use-cases。
如果您有更多问题,请告诉我。