在 Azure Active Directory B2C 中使用自定义策略添加 AD FS 作为 SAML 标识提供者

开始之前,请使用此页顶部的“选择策略类型”选择器来选择要设置的策略类型。 Azure Active Directory B2C 提供了两种定义用户如何与应用程序交互的方法:通过预定义的用户流,或者通过可完全配置的自定义策略。 对于每种方法,本文中所需的步骤都不同。

此功能仅适用于自定义策略。 对于设置步骤,请在前面的选择器中选择“自定义策略”。

注意

在 Azure Active Directory B2C 中,自定义策略主要用于解决复杂的情况。 在大多数情况下,建议你使用内置用户流。 如果尚未这样做,请从 Active Directory B2C 中的自定义策略入门了解自定义策略新手包。

本文介绍如何让 AD FS 用户帐户使用 Azure Active Directory B2C (Azure AD B2C) 中的自定义策略登录。 可通过将 SAML 标识提供者添加到自定义策略来实现登录。

先决条件

创建自签名证书

如果你还没有证书,则可以使用自签名证书。 自签名证书是未由证书颁发机构 (CA) 签署的安全证书,不提供由 CA 签名的证书的安全保障。

在 Windows 上,可在 PowerShell 中使用 New-SelfSignedCertificate cmdlet 来生成证书。

  1. 运行以下 PowerShell 命令来生成自签名证书。 根据应用程序和 Azure AD B2C 租户名称修改 -Subject 参数,如 contosowebapp.contoso.partner.onmschina.cn。 还可调整 -NotAfter 日期,为证书指定不同的过期日期。

    New-SelfSignedCertificate `
        -KeyExportPolicy Exportable `
        -Subject "CN=yourappname.yourtenant.partner.onmschina.cn" `
        -KeyAlgorithm RSA `
        -KeyLength 2048 `
        -KeyUsage DigitalSignature `
        -NotAfter (Get-Date).AddMonths(12) `
        -CertStoreLocation "Cert:\CurrentUser\My"
    
  2. 在 Windows 计算机上,搜索并选择“管理用户证书”

  3. 在“证书 - 当前用户”下,选择“个人”“证书”“yourappname.yourtenant.partner.onmschina.cn”。

  4. 选择该证书,然后依次选择“操作”>“所有任务”>“导出”。

  5. 选择“下一步”>“是,导出私钥”>“下一步” 。

  6. 接受“导出文件格式”的默认值,然后选择“下一步” 。

  7. 启用“密码”选项,输入证书的密码,然后选择“下一步” 。

  8. 若要指定保存证书的位置,请选择“浏览”并导航到所选的目录。

  9. 在“另存为”窗口中,输入文件名,然后选择“保存” 。

  10. 选择“下一步”>“完成”。

要让 Azure AD B2C 接受 .pfx 文件密码,必须在 Windows 证书存储导出实用工具中使用 TripleDES-SHA1 选项,而不是 AES256-SHA256 对此密码进行加密。

创建策略密钥

需要将你的证书存储在 Azure AD B2C 租户中。

  1. 登录 Azure 门户
  2. 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,切换到“目录 + 订阅”菜单中的 Azure AD B2C 租户。
  3. 选择 Azure 门户左上角的“所有服务”,然后搜索并选择“Azure AD B2C” 。
  4. 在“概述”页上选择“标识体验框架”。
  5. 选择“策略密钥”,然后选择“添加”。
  6. 对于“选项”,请选择 Upload
  7. 输入策略密钥的名称。 例如,SAMLSigningCert。 前缀 B2C_1A_ 会自动添加到密钥名称。
  8. 浏览并选择带有私钥的证书 .pfx 文件。
  9. 单击“创建”。

添加声明提供程序

如果希望用户使用 AD FS 帐户登录,需将该帐户定义为 Azure AD B2C 可通过终结点与其进行通信的声明提供程序。 该终结点将提供一组声明,Azure AD B2C 使用这些声明来验证特定的用户是否已完成身份验证。

可以通过在策略的扩展文件中将 AD FS 帐户添加到 ClaimsProviders 元素,将该帐户定义为声明提供程序。 有关详细信息,请参阅定义 SAML 标识提供者

  1. 打开 TrustFrameworkExtensions.xml

  2. 找到 ClaimsProviders 元素。 如果该元素不存在,请在根元素下添加它。

  3. 如下所示添加新的 ClaimsProvider

    <ClaimsProvider>
      <Domain>contoso.com</Domain>
      <DisplayName>Contoso</DisplayName>
      <TechnicalProfiles>
        <TechnicalProfile Id="Contoso-SAML2">
          <DisplayName>Contoso</DisplayName>
          <Description>Login with your AD FS account</Description>
          <Protocol Name="SAML2"/>
          <Metadata>
            <Item Key="WantsEncryptedAssertions">false</Item>
            <Item Key="PartnerEntity">https://your-AD-FS-domain/federationmetadata/2007-06/federationmetadata.xml</Item>
          </Metadata>
          <CryptographicKeys>
            <Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SAMLSigningCert"/>
          </CryptographicKeys>
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="userPrincipalName" />
            <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name"/>
            <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name"/>
            <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email"/>
            <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name"/>
            <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="contoso.com" />
            <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication"/>
          </OutputClaims>
          <OutputClaimsTransformations>
            <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
            <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
            <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
            <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
          </OutputClaimsTransformations>
          <UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-idp"/>
        </TechnicalProfile>
      </TechnicalProfiles>
    </ClaimsProvider>
    
  4. your-AD-FS-domain 替换为你的 AD FS 域的名称,将 identityProvider 输出声明的值替换为你的 DNS(表示你的域的任意值)。

  5. 找到 <ClaimsProviders> 部分并添加以下 XML 片段。 如果策略已包含 SM-Saml-idp 技术配置文件,请跳到下一步。 有关详细信息,请参阅单一登录会话管理

    <ClaimsProvider>
      <DisplayName>Session Management</DisplayName>
      <TechnicalProfiles>
        <TechnicalProfile Id="SM-Saml-idp">
          <DisplayName>Session Management Provider</DisplayName>
          <Protocol Name="Proprietary" Handler="Web.TPEngine.SSO.SamlSSOSessionProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
          <Metadata>
            <Item Key="IncludeSessionIndex">false</Item>
            <Item Key="RegisterServiceProviders">false</Item>
          </Metadata>
        </TechnicalProfile>
      </TechnicalProfiles>
    </ClaimsProvider>
    
  6. 保存文件。

添加用户旅程

此时,标识提供者已设置,但还不能在任何登录页中使用。 如果你没有自己的自定义用户旅程,请创建现有模板用户旅程的副本,否则,请继续执行下一步。

  1. 打开初学者包中的 TrustFrameworkBase.xml 文件。
  2. 找到并复制包含 Id="SignUpOrSignIn"UserJourney 元素的完整内容。
  3. 打开 TrustFrameworkExtensions.xml 并找到 UserJourneys 元素。 如果该元素不存在,请添加一个。
  4. 将复制的 UserJourney 元素的完整内容粘贴为 UserJourneys 元素的子级。
  5. 对用户旅程的 ID 进行重命名。 例如,Id="CustomSignUpSignIn"

将标识提供者添加到用户旅程

目前你已拥有用户旅程,请将新的标识提供者添加到用户旅程。 首先添加一个“登录”按钮,然后将该按钮链接到某个操作。 该操作是你之前创建的技术配置文件。

  1. 在用户旅程中,查找包含 Type="CombinedSignInAndSignUp"Type="ClaimsProviderSelection" 的业务流程步骤元素。 这通常是第一个业务流程步骤。 ClaimsProviderSelections 元素包含用户可以用来登录的标识提供者列表。 元素的顺序将决定向用户显示的登录按钮的顺序。 添加 ClaimsProviderSelection XML 元素。 将 TargetClaimsExchangeId 的值设置为易记名称。

  2. 在下一个业务流程步骤中,添加 ClaimsExchange 元素。 将 ID 设置为目标声明交换 ID 的值。将 TechnicalProfileReferenceId 的值更新为之前创建的技术配置文件的 ID 。

下面的 XML 演示了使用标识提供者进行用户旅程的前两个业务流程步骤:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="ContosoExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="ContosoExchange" TechnicalProfileReferenceId="Contoso-SAML2" />
  </ClaimsExchanges>
</OrchestrationStep>

配置信赖方策略

信赖方策略(例如 SignUpSignIn.xml)指定 Azure AD B2C 将执行的用户旅程。 在信赖方内查找 DefaultUserJourney 元素。 更新 ReferenceId,使其与已在其中添加标识提供者的用户旅程 ID 匹配。

在以下示例中,对于 CustomSignUpSignIn 用户旅程,将 ReferenceId 设置为 CustomSignUpSignIn

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

上传自定义策略

  1. 登录到 Azure 门户
  2. 在门户工具栏中选择“目录 + 订阅”图标,然后选择包含 Azure AD B2C 租户的目录。
  3. 在 Azure 门户中,搜索并选择“Azure AD B2C”。
  4. 在“策略”下,选择“Identity Experience Framework”。
  5. 选择“上传自定义策略”,然后上传已更改的两个策略文件,其顺序为:先上传扩展策略(例如 TrustFrameworkExtensions.xml),然后上传信赖方策略(例如 SignUpSignIn.xml)。

配置 AD FS 信赖方信任

要将 AD FS 用作 Azure AD B2C 中的标识提供者,需要使用 Azure AD B2C SAML 元数据创建 AD FS 信赖方信任。 以下示例显示 Azure AD B2C 技术配置文件的 SAML 元数据的 URL 地址:

https://your-tenant-name.b2clogin.cn/your-tenant-name.partner.onmschina.cn/your-policy/samlp/metadata?idptp=your-technical-profile

请替换以下值:

  • 将 your-tenant-name 替换为你的租户名称,例如 your-tenant.partner.onmschina.cn。
  • 将 your-policy 替换为你的策略名称。 例如,B2C_1A_signup_signin_adfs。
  • 将 your-technical-profile 替换为 SAML 标识提供者技术配置文件的名称。 例如,Contoso-SAML2。

打开浏览器并导航到此 URL。 确保键入正确的 URL 并且你有权访问 XML 元数据文件。 要通过使用 AD FS 管理管理单元添加新的依赖方信任并手动配置设置,请在联合服务器上执行以下过程。 本地计算机上“管理员”中的成员身份或同等身份是完成此过程所需的最低要求。

  1. 在“服务器管理器”中,选择“工具”,然后选择“AD FS 管理”。

  2. 选择“添加信赖方信任”

  3. 在“欢迎”页上,选择“声明感知”,然后选择“启动”。

  4. 在“选择数据源”页上,选择“导入有关联机发布的或在本地网络上发布的信赖方的数据”,提供 Azure AD B2C 元数据 URL,然后选择“下一步”。

  5. 在“指定显示名称”页上,输入一个“显示名称”,在“说明”下输入有关此信赖方信任的说明,然后选择“下一步”。

  6. 在“选择访问控制策略”页上选择一个策略,然后选择“下一步”。

  7. 在“准备添加信任”页上,查看设置,然后选择“下一步”来保存信赖方信任信息。

  8. 在“完成”页上选择“关闭”,此操作会自动显示“编辑声明规则”对话框。

  9. 选择“添加规则”。

  10. 在“声明规则模板”中,选择“以声明方式发送 LDAP 特性”

  11. 提供“声明规则名称”。 对于“属性存储”,请选择“选择 Active Directory”,添加以下声明,然后选择“完成”和“确定”。

    LDAP 属性 传出声明类型
    User-Principal-Name userPrincipalName
    Surname family_name
    Given-Name given_name
    E-Mail-Address 电子邮件
    Display-Name name

    请注意,某些名称不会显示在传出声明类型下拉列表中。 需要手动键入它们。 (下拉列表是可编辑的)。

  12. 根据证书类型,可能需要设置哈希算法。 在信赖方信任(B2C 演示)属性窗口中,选择“高级”选项卡并将“安全哈希算法”更改为 SHA-256,然后选择“确定” 。

  13. 在“服务器管理器”中,选择“工具”,然后选择“AD FS 管理”。

  14. 依次选择所创建的信赖方信任、“从联合元数据更新”、“更新”。

测试自定义策略

  1. 登录 Azure 门户
  2. 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,从“目录 + 订阅”菜单中切换到你的 Azure AD B2C 租户。
  3. 在 Azure 门户中,搜索并选择“Azure AD B2C” 。
  4. 在“策略”下,选择“Identity Experience Framework”
  5. 选择信赖方策略,例如 B2C_1A_signup_signin
  6. 对于“应用程序”,请选择前面注册的 Web 应用程序。 “回复 URL”应显示为 https://jwt.ms
  7. 选择“立即运行”按钮。
  8. 在注册或登录页面上,选择“Contoso AD FS”以使用 Contoso AD FS 标识提供者登录。

如果登录过程是成功的,则你的浏览器会被重定向到 https://jwt.ms,其中显示 Azure AD B2C 返回的令牌内容。

AD FS 服务疑难解答

AD FS 被配置为使用 Windows 应用程序日志。 如果在 Azure AD B2C 中使用自定义策略将设置 AD FS 作为 SAML 标识提供者时遇到挑战,你可能想要检查 AD FS 事件日志:

  1. 在 Windows“搜索栏”中,键入“事件查看器”,然后选择“事件查看器”桌面应用。
  2. 若要查看另一台计算机的日志,右键单击“事件查看器(本地)”。 选择“连接到另一台计算机”,并填写字段以完成“选择计算机”对话框。
  3. 在“事件查看器”中,打开“应用程序和服务日志” 。
  4. 依次选择“AD FS”和“管理员”。
  5. 若要查看有关某事件的详细信息,请双击该事件。

SAML 请求未通过预期的签名算法事件进行签名

此错误表明,Azure AD B2C 发送的 SAML 请求未通过 AD FS 中配置的预期签名算法进行签名。 例如,SAML 请求是通过签名算法 rsa-sha256 进行签名的,但预期签名算法却是 rsa-sha1。 若要解决此问题,请确保 Azure AD B2C 和 AD FS 均配置有相同的签名算法。

选项 1:在 Azure AD B2C 中设置签名算法

可以配置如何在 Azure AD B2C 中对 SAML 请求进行签名。 XmlSignatureAlgorithm 元数据控制 SAML 请求中 SigAlg 参数(查询字符串或 post 参数)的值。 下面的示例将配置 Azure AD B2C 以使用 rsa-sha256 签名算法。

<Metadata>
  <Item Key="WantsEncryptedAssertions">false</Item>
  <Item Key="PartnerEntity">https://your-AD-FS-domain/federationmetadata/2007-06/federationmetadata.xml</Item>
  <Item Key="XmlSignatureAlgorithm">Sha256</Item>
</Metadata>

选项 2:在 AD FS 中设置签名算法

或者,你还可以在 AD FS 中配置预期的 SAML 请求签名算法。

  1. 在“服务器管理器”中,选择“工具”,然后选择“AD FS 管理”。
  2. 选择之前创建的“信赖方信任”。
  3. 依次选择“属性”和“高级”
  4. 配置“安全哈希算法”,然后选择“确定”以保存更改。

HTTP 重定向请求不包含签名请求 (AADB2C90168) 所需的参数“Signature”

选项 1:在 Azure AD B2C 中将 ResponsesSigned 设置为 false

可以在 Azure AD B2C 中禁用签名消息的要求。 以下示例将 Azure AD B2C 配置为不需要签名请求的“Signature”参数。

<Metadata>
  <Item Key="WantsEncryptedAssertions">false</Item>
  <Item Key="PartnerEntity">https://your-AD-FS-domain/federationmetadata/2007-06/federationmetadata.xml</Item>
  <Item Key="ResponsesSigned">false</Item>
</Metadata>

选项 2:在 AD FS 中设置信赖方以对消息和断言进行签名

或者,可以在 AD FS 中配置信赖方,如下所述:

  1. 以管理员身份打开 PowerShell 并运行 Set-AdfsRelyingPartyTrust -TargetName <RP Name> -SamlResponseSignature MessageAndAssertion cmdlet,以对消息和断言进行签名。
  2. 运行 Set-AdfsRelyingPartyTrust -TargetName <RP Name> 并确认 SamlResponseSignature 属性设置为 MessageAndAssertion。