Azure B2C als IdP für Atlassian SAML SSO

Schritt 1: Richten Sie Azure AD B2C als Identitätsanbieter ein

Führen Sie die folgenden Schritte aus, um Azure AD B2C als Identitätsanbieter zu konfigurieren

 Registrieren Sie die IdentityExperienceFramework-Anwendung

• Wählen Sie im Azure AD B2C-Mandanten aus App-RegistrierungenUnd wählen Sie dann Neue Registrierung.

• Aussichten für Name und VornameGeben Sie IdentityExperienceFramework ein.
• Der Unterstützte KontotypenWählen Nur Konten in diesem Organisationsverzeichnis.

• Der Umleitungs-URI, wählen Sie „Web“ aus und geben Sie dann ein https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com Dabei ist Ihr-Mandantenname der Domänenname Ihres Azure AD B2C-Mandanten.
• Der BerechtigungenWählen Sie die Kontrollkästchen „Administratoreinwilligung für openid- und offline_access-Berechtigungen erteilen“. Wählen Sie nun Registrieren.

• Nehmen Sie die auf Anwendungs-ID (Client-ID) zur Verwendung in einem späteren Schritt.

• Um die API verfügbar zu machen, fügen Sie unten einen Bereich hinzu VerwaltenWählen Eine API verfügbar machen.
• Auswählen Einen Bereich hinzufügen, wählen Sie dann Speichern aus und akzeptieren Sie weiterhin den Standard-Anwendungs-ID-URI.

• Geben Sie die folgenden Werte ein, um einen Bereich zu erstellen, der die Ausführung benutzerdefinierter Richtlinien in Ihrem Azure AD B2C-Mandanten ermöglicht:

Bereichsname	user_impersonation
Anzeigename für die Zustimmung des Administrators	Greifen Sie auf IdentityExperienceFramework zu
Beschreibung der Zustimmung des Administrators	Erlauben Sie der Anwendung, im Namen des angemeldeten Benutzers auf IdentityExperienceFramework zuzugreifen

• Auswählen Bereich hinzufügen und Status: Aktiviert

 Registrieren Sie die ProxyIdentityExperienceFramework-Anwendung

• Auswählen App-RegistrierungenUnd wählen Sie dann Neue Registrierung.
• Aussichten für Name und VornameGeben Sie ProxyIdentityExperienceFramework ein.
• Der Unterstützte KontotypenWählen Nur Konten in diesem Organisationsverzeichnis.

• Der Umleitungs-URI, verwenden Sie das Dropdown-Menü zur Auswahl Öffentlicher Client/nativ (mobil und Desktop).
• Aussichten für Umleitungs-URI, geben Sie myapp://auth ein.
• Der BerechtigungenWählen Sie die Erteilen Sie die Zustimmung des Administrators zu den Berechtigungen „openid“ und „offline_access“. Kontrollkästchen aktivieren und auswählen Registrieren.

• Nehmen Sie die auf Anwendungs-ID (Client-ID) zur Verwendung in einem späteren Schritt.

• Geben Sie als Nächstes an, dass die Anwendung als öffentlicher Client behandelt werden soll. Unter VerwaltenWählen Authentifizierung.
• Der Erweiterte Einstellungen, aktivieren Öffentliche Clientflüsse zulassen (wählen Sie Ja).Wählen Sie Speichern.

• Erteilen Sie nun Berechtigungen für den API-Bereich, den Sie zuvor in der IdentityExperienceFramework-Registrierung bereitgestellt haben. Unter VerwaltenWählen API-Berechtigungen.
• Der Konfigurierte BerechtigungenWählen Berechtigung hinzufügen.

• Wähle aus Meine APIs Registerkarte, und wählen Sie dann die IdentityExperienceFramework Anwendung.

• Der GenehmigungWählen Sie die user_impersonation Bereich, den Sie zuvor definiert haben.
• Auswählen Berechtigungen hinzufügen. Warten Sie wie angegeben einige Minuten, bevor Sie mit dem nächsten Schritt fortfahren.

• Auswählen Erteilen Sie die Administratoreinwilligung für (Ihren Mandantennamen).

• Wählen Sie Ihr aktuell angemeldetes Administratorkonto aus oder melden Sie sich mit einem Konto in Ihrem Azure AD B2C-Mandanten an, dem mindestens die Rolle „Cloud-Anwendungsadministrator“ zugewiesen wurde. Wählen Akzeptieren.
• Inspirationund überprüfen Sie dann, ob „Gewährt für ...“ unter angezeigt wird Status für die Bereiche: offline_access, openid und user_impersonation. Es kann einige Minuten dauern, bis die Berechtigungen weitergegeben werden.

 Registrieren Sie die SAML-Anwendung

• Auswählen App-RegistrierungenUnd wählen Sie dann Neue Registrierung.
• Geben Sie einen Namen für die Anwendung ein, z. B.:SAML_APP.
• Der Unterstützte KontotypenWählen Konten in einem beliebigen Identitätsanbieter oder Organisationsverzeichnis (zur Authentifizierung von Benutzern mit Benutzerflüssen).

• Der Umleitungs-URI, wählen Sie „Web“ aus und geben Sie dann die ACS-URL ein als {application_base_url}/plugins/servlet/saml/auth von dem Informationen zum Dienstanbieter Registerkarte der miniOrange SAML SSO-Plugin. Auswählen Registrieren.

• Der Verwalten, klicke auf Eine API verfügbar machen.
• Klicken Sie auf Sept Geben Sie den Anwendungs-ID-URI ein und klicken Sie dann auf Speichern, wobei der Standardwert übernommen wird.

• Kopieren Sie nach dem Speichern den Anwendungs-ID-URI und navigieren Sie zu Informationen zum Dienstanbieter Registerkarte des Plugins. Fügen Sie den kopierten Wert unter ein SP-Entitäts-ID Feld auf dieser Registerkarte. Klicken Sie auf Speichern.

 Generieren Sie SSO-Richtlinien

• Navigieren Sie in unserem Azure AD B2C-Portal zum Abschnitt „Übersicht“ Ihres B2C-Mandanten und notieren Sie Ihren Mandantennamen.
  Anmerkungen: Wenn Ihre B2C-Domäne demo.onmicrosoft.com lautet, lautet Ihr Mandantenname demo.

• Geben Sie Ihre Name des Azure B2C-Mandanten unten, zusammen mit der Anwendungs-ID für IdentityExperienceFramework und ProxyIdentityExperienceFramework Apps wie in den obigen Schritten registriert.

Name des Azure B2C-Mandanten:
IdentityExperienceFramework-App-ID:
ProxyIdentityExperienceFramework-App-ID:



• Klicken Sie auf Generieren Sie B2C-Richtlinien Klicken Sie auf die Schaltfläche, um die SSO-Richtlinien herunterzuladen.
• Extrahieren Sie die heruntergeladene ZIP-Datei. Es enthält die Richtliniendateien und Zertifikat (.pfx), welche Sie in den folgenden Schritten benötigen.

 Laden Sie das Zertifikat hoch

• Melden Sie sich bei der an Azure-Portal und navigieren Sie zu Ihrem Azure AD B2C-Mandanten.

• Der RichtlinienWählen Identity Experience Framework und dann Richtlinienschlüssel.

• Auswählen SpeichernUnd wählen Sie dann Optionen > Hochladen
• Geben Sie den Namen ein als SamlIdpCert. Dem Namen Ihres Schlüssels wird automatisch das Präfix B2C_1A_ hinzugefügt.

• Laden Sie mithilfe der Datei-Upload-Steuerung Ihr Zertifikat hoch, das in den obigen Schritten generiert wurde, zusammen mit den SSO-Richtlinien (tenantname-cert.pfx).
• Geben Sie als Mandantennamen das Passwort des Zertifikats ein und klicken Sie auf Erstellen.
  Wenn Ihr Mandantenname beispielsweise demo.onmicrosoft.com lautet, geben Sie das Kennwort „demo“ ein.
• Sie sollten einen neuen Richtlinienschlüssel mit dem Namen sehen können B2C_1A_SamlIdpCert.

 Erstellen Sie den Signaturschlüssel

• Auf der Übersichtsseite Ihres Azure AD B2C-Mandanten unter RichtlinienWählen Identity Experience Framework.
• Auswählen Richtlinienschlüssel und dann auswählen Speichern.
• Aussichten für Optionen, wählen Sie Generieren.
• In Name und VornameGeben Sie TokenSigningKeyContainer ein. Für Schlüsselart, wählen Sie RSA.
• Aussichten für Schlüsselverwendung, wählen Sie „Signatur“. Wählen Sie nun aus Erstellen.

 Erstellen Sie den Verschlüsselungsschlüssel

• Befolgen Sie die ersten drei Schritte zum Erstellen des Signaturschlüssels.
• Aussichten für Name und VornameGeben Sie TokenEncryptionKeyContainer ein. Für Schlüsselart, wählen Sie RSA.
• Aussichten für Schlüsselverwendung, wählen Sie Verschlüsselung. Wählen Sie nun aus Erstellen.

 Laden Sie die Richtlinien hoch

• Wähle aus Identity Experience Framework Menüpunkt in Ihrem B2C-Mandanten im Azure-Portal.

• Auswählen Laden Sie eine benutzerdefinierte Richtlinie hoch.

• Laden Sie die in den oben genannten Schritten heruntergeladenen Richtliniendateien in der folgenden Reihenfolge hoch:
  

1	TrustFrameworkBase.xml
2	TrustFrameworkExtensions.xml
3	SignUpOrSignin.xml
4	ProfileEdit.xml
5	PasswordReset.xml
6	SignUpOrSigninSAML.xml

• Wenn Sie die Dateien hochladen, fügt Azure jeder Datei das Präfix B2C_1A_ hinzu.

Note: Für den nächsten Schritt verwenden Sie die IDP-Metadaten-URL als:
https://tenant-name.b2clogin.com/tenant-name.onmicrosoft.com/B2C_1A_signup_signin_saml/Samlp/metadata.