为Azure AD B2C自定义策略调用New-CpimCertificate时出现问题

时间:2017-08-10 11:40:41

标签: saml-2.0 azure-ad-b2c

我尝试将Azure AD B2C用作SAML身份提供商。

我知道网络上的几个位置声明B2C(尚未)支持SAML作为身份提供者(例如,回答这个问题:Can I integrate a SAML application with Azure AD B2C?)。

但是,当我阅读"Azure AD B2C Custom Policies" docs上的内置策略和自定义策略之间的比较时,我发现今天已经支持SAML作为身份提供者。

另外,我发现这个GitHub遍历:https://github.com/Azure-Samples/active-directory-b2c-advanced-policies/blob/master/Walkthroughs/RP-SAML.md

在完成之后,我在第5步"上传Certs"执行New-CpimCertificate时第一部分"Create the SAML Token Issuer"

我可以成功导入模块ExploreAdmin.dll。但是,在调用New-CpimCertificate时提供我的凭据,我在控制台上收到此错误:

New-CpimCertificate : Unauthorized.
Access to this Api requires feature: 'Advanced' for the tenant: '<myazureb2ctenant>.onmicrosoft.com'.

非常欢迎任何帮助,想法,评论......

1 个答案:

答案 0 :(得分:3)

Azure AD B2C仍未正式支持(即使在预览中)connecting with apps via SAML (也称为SAML身份提供商)。

它仅支持connecting to other identity providers via SAML (也称为SAML中继方)。

在正式推出Azure AD B2C自定义策略预览之前,GitHub走过了你所遇到的一段旧路。它讨论的功能并未包含在预览范围内,例如B2C作为SAML IdP。它还引用了不再适用的工具(那些PowerShell脚本)和步骤。

"Azure AD B2C Custom Policies" doc的身份提供商部分提及SAML是指支持B2C是连接到SAML身份提供商的中继方,而不是相反(B2C是SAML身份提供商本身)

所有这一切,你可以使你的情节有效,并清楚地了解它不受支持。

您可以使用您引用的GitHub文档,更换涉及ExploreAdmin的步骤以及允许您通过门户网站上传证书的these instructions New-CpimCertificate

  1. 转到Azure AD B2C租户。点击设置&gt;身份体验框架&gt;政策关键
  2. 点击 +添加,然后:
    1. 点击选项&gt;上传即可。
    2. 输入名称(例如,YourAppNameSamlCert)。前缀 B2C_1A _ 会自动添加到您的密钥名称中。
    3. 要选择证书,请选择上传文件控制
    4. 输入证书的密码。
  3. 点击创建
  4. 确认您已创建密钥(例如,B2C_1A_YourAppNameSamlCert)。