适用于多个服务提供商的Azure B2C IDP SAML

时间:2018-04-19 20:08:43

标签: saml-2.0 azure-ad-b2c

我已成功为单个服务提供商通过SAML将Azure B2C配置为IDP。即使它的工作原理,在这个设置中还有很多我不理解的部分。 我将描述我到目前为止所做的事情,然后再提问。

假设我有两个服务提供商,SP1 / SP2都需要SAML和一个注册/登录页面。 SP1要求loyality_id作为自定义属性,SP2要求product_name属性。

这是有效的source code。 感谢/感谢blog

以下是配置的高级摘要。

SAML for SP1(服务提供商1):

  • 向B2C租户添加签名和加密密钥
  • 注册Identity Experience Framework应用程序
    • 在Azure Active Directory中创建Web应用程序IdentityExperienceFramework
    • 在Azure Active Directory中创建本机应用程序ProxyIdentityExperienceFramework
  • 从LocalAccounts的入门包开始为基础
  • 将Saml2AssertionIssuer添加到基本策略
  • 将用户旅程SignInSaml添加到基本政策
  • 在扩展程序策略中覆盖“本地帐户登录”声明提供程序,并从之前创建的应用程序中添加“client_id”和“IdTokenAudience”的替换值
  • 使用RelyingParty for SP1的策略文件
    • 这描述了添加到SAML响应的输出声明

SP1的注册/登录政策:

  • 创建内置注册和sigin政策
  • 在Azure B2C刀片中创建应用程序

到目前为止,通过此设置,我在Azure Active Directory中有两个用于自定义策略的应用程序和一个用于内置策略的Azure B2C刀片中的一个应用程序。

根据https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-create-custom-attributes-profile-edit-custom

  

扩展属性只能在Application对象上注册   即使它们可能包含用户的数据。酒店附有   到申请。必须授予Application对象写入权限   访问注册扩展属性。

  • 上段所指的“申请书”是什么?
  • 应用程序的目的是什么IdentityExperienceFramework / ProxyIdentityExperienceFramework
  • 要设置SP2,我是否需要为IdentityExperienceFramework / ProxyIdentityExperienceFramework创建单独的Azure Active目录应用程序?或者我可以使用相同的?自定义属性如何影响这个?
  • 如果SAML是通过自定义策略并且登录/注册是内置策略,我如何设置自定义属性
  • 在这种情况下,在什么App上下文中创建了自定义属性?

我很欣赏任何指示。

由于

1 个答案:

答案 0 :(得分:1)

该应用程序是在"创建新应用程序以存储扩展属性"部分中创建的应用程序。

应用目的是使用本地帐户启用登录。可以在多个政策中使用相同的应用程序。

自定义属性与在Azure AD级别的应用注册中创建的应用程序相关,并且具有配置文档中详细说明的权限。

在我的Github配置文件中,您可以找到不同的B2C实现作为SAML发布者方案:https://github.com/marcelodiiorio/My-Azure-AD-B2C-use-cases

如果您有更多问题,请告诉我。

相关问题
最新问题