Azure B2C comme IdP pour Atlassian SAML SSO

Étape 1 : configurer Azure AD B2C en tant que fournisseur d'identité

Suivez les étapes ci-dessous pour configurer Azure AD B2C en tant que fournisseur d'identité

 Enregistrez l'application IdentityExperienceFramework

• Dans le locataire Azure AD B2C, sélectionnez Inscriptions d'applications, Puis sélectionnez Nouvelle inscription.

• Pour Nom, entrez IdentityExperienceFramework.
• Sous Types de compte pris en charge, sélectionnez Comptes dans ce répertoire organisationnel uniquement.

• Sous URI de redirection, sélectionnez Web, puis entrez https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com où votre nom de locataire est le nom de domaine de votre locataire Azure AD B2C.
• Sous Permissions, Sélectionnez l' Case à cocher Accorder le consentement de l’administrateur aux autorisations openid et offline_access. Maintenant, sélectionnez Inscription.

• Enregistrez le ID de l'application (client) pour une utilisation ultérieure.

• Pour exposer l'API, ajoutez une portée sous Gérer, sélectionnez Exposer une API.
• Sélectionnez Ajouter une portée, puis sélectionnez Enregistrer et continuez à accepter l'URI de l'ID d'application par défaut.

• Entrez les valeurs suivantes pour créer une étendue qui permet l’exécution de stratégies personnalisées dans votre locataire Azure AD B2C :

Nom de la portée	user_usurpation d'identité
Nom à afficher du consentement de l'administrateur	Accéder à IdentityExperienceFramework
Description du consentement de l'administrateur	Autoriser l'application à accéder à IdentityExperienceFramework au nom de l'utilisateur connecté

• Sélectionnez Ajouter une portée ainsi que État : Activé

 Enregistrez l'application ProxyIdentityExperienceFramework

• Sélectionnez Inscriptions d'applications, Puis sélectionnez Nouvelle inscription.
• Pour Nom, saisissez ProxyIdentityExperienceFramework.
• Sous Types de compte pris en charge, sélectionnez Comptes dans ce répertoire organisationnel uniquement.

• Sous URI de redirection, utilisez le menu déroulant pour sélectionner Client public/natif (mobile et ordinateur).
• Pour URI de redirection, saisissez myapp://auth.
• Sous Permissions, Sélectionnez l' Accorder le consentement de l'administrateur aux autorisations openid et offline_access cochez la case et sélectionnez Inscription.

• Enregistrez le ID de l'application (client) pour une utilisation ultérieure.

• Ensuite, précisez que l'application doit être traitée comme un client public. Sous Gérer, sélectionnez Authentification.
• Sous paramètres avancés, activer Autoriser les flux de clients publics (sélectionnez Oui). Sélectionnez Épargnez.

• Maintenant, accordez des autorisations à la portée de l'API que vous avez exposée précédemment lors de l'enregistrement IdentityExperienceFramework. Sous Gérer, sélectionnez Autorisations API.
• Sous Autorisations configurées, sélectionnez Ajouter une autorisation.

• Sélectionnez le Mes API onglet, puis sélectionnez Cadre d'expérience d'identité .

• Sous Autorisation, Sélectionnez l' user_usurpation d'identité portée que vous avez définie précédemment.
• Sélectionnez Ajouter des autorisations. Comme indiqué, attendez quelques minutes avant de passer à l'étape suivante.

• Sélectionnez Accordez le consentement de l'administrateur pour (nom de votre locataire).

• Sélectionnez votre compte d'administrateur actuellement connecté ou connectez-vous avec un compte dans votre locataire Azure AD B2C auquel a été attribué au moins le rôle d'administrateur d'application Cloud. Sélectionner Accepter.
• Maintenant Refresh, puis vérifiez que « Accordé pour... » apparaît sous Statut pour les étendues : offline_access, openid et user_impersonation. La propagation des autorisations peut prendre quelques minutes.

 Enregistrez l'application SAML

• Sélectionnez Inscriptions d'applications, Puis sélectionnez Nouvelle inscription.
• Entrez un nom pour l'application. Par exemple :SAML_APP.
• Sous Types de compte pris en charge, sélectionnez Comptes dans n'importe quel fournisseur d'identité ou répertoire organisationnel (pour authentifier les utilisateurs avec des flux d'utilisateurs).

• Sous URI de redirection, sélectionnez Web, puis entrez l'URL ACS comme {application_base_url}/plugins/servlet/saml/auth du Informations sur le fournisseur de services onglet du Plugin miniOrange SAML SSO. Sélectionnez Inscription.

• Sous Gérer, cliquer sur Exposer une API.
• Cliquez sur Ensemble pour l'URI de l'ID d'application, puis cliquez sur Épargnez, en acceptant la valeur par défaut.

• Une fois enregistré, copiez l'URI de l'ID d'application et accédez au Informations sur le fournisseur de services du plugin. Collez la valeur copiée sous le ID d'entité SP champ prévu dans cet onglet. Cliquez sur Enregistrer.

 Générer des politiques SSO

• Depuis notre portail Azure AD B2C, accédez à la section Présentation de votre locataire B2C et enregistrez le nom de votre locataire.
  REMARQUE: Si votre domaine B2C est demo.onmicrosoft.com, alors le nom de votre locataire est demo.

• Entrez votre Nom du locataire Azure B2C ci-dessous, ainsi que l'ID de la demande pour Cadre d'expérience d'identité ainsi que ProxyIdentityExperienceFramework applications telles qu’enregistrées dans les étapes ci-dessus.

Nom du locataire Azure B2C :
ID de l’application IdentityExperienceFramework :
ID de l’application ProxyIdentityExperienceFramework :



• Cliquez sur le Générer des politiques B2C bouton pour télécharger les politiques SSO.
• Extrayez le fichier zip téléchargé. Il contient le fichiers de stratégie et certificat (.pfx), dont vous aurez besoin dans les étapes suivantes.

 Téléchargez le certificat

• Connectez-vous à la Portail Azure et accédez à votre locataire Azure AD B2C.

• Sous Politiques internes, sélectionnez Cadre d'expérience d'identité et alors Clés de politique.

• Sélectionnez Ajouter, Puis sélectionnez Options > Télécharger
• Entrez le nom comme SamlIdpCert. Le préfixe B2C_1A_ est automatiquement ajouté au nom de votre clé.

• À l'aide du contrôle de téléchargement de fichiers, téléchargez votre certificat généré au cours des étapes ci-dessus avec les politiques SSO (tenantname-cert.pfx).
• Saisissez le mot de passe du certificat comme nom de locataire et cliquez sur Création.
  Par exemple, si le nom de votre locataire est demo.onmicrosoft.com, entrez le mot de passe en tant que démo.
• Vous devriez pouvoir voir une nouvelle clé de stratégie avec le nom B2C_1A_SamlIdpCert.

 Créer la clé de signature

• Sur la page de présentation de votre locataire Azure AD B2C, sous Politiques internes, sélectionnez Cadre d'expérience d'identité.
• Sélectionnez Clés de politique puis sélectionnez Ajouter.
• Pour Options, choisissez Générer.
• In Nom, saisissez TokenSigningKeyContainer. Pour Type de clé, sélectionnez RSA.
• Pour Utilisation des clés, sélectionnez Signature. Maintenant, sélectionnez Création.

 Créer la clé de chiffrement

• Suivez les trois premières étapes utilisées pour créer la clé de signature.
• Pour Nom, saisissez TokenEncryptionKeyContainer. Pour Type de clé, sélectionnez RSA.
• Pour Utilisation des clés, sélectionnez Chiffrement. Maintenant, sélectionnez Création.

 Téléchargez les politiques

• Sélectionnez le Cadre d'expérience d'identité élément de menu dans votre locataire B2C dans le portail Azure.

• Sélectionnez Télécharger une stratégie personnalisée.

• Conformément à l'ordre suivant, téléchargez les fichiers de stratégie téléchargés lors des étapes ci-dessus :
  

1	TrustFrameworkBase.xml
2	TrustFrameworkExtensions.xml
3	InscriptionOuSignin.xml
4	ProfilEdit.xml
5	Mot de passeRéinitialiser.xml
6	InscriptionOuConnexionSAML.xml

• Au fur et à mesure que vous téléchargez les fichiers, Azure ajoute le préfixe B2C_1A_ à chacun.

Notes : Pour l'étape suivante, utilisez l'URL des métadonnées IDP comme :
https://tenant-name.b2clogin.com/tenant-name.onmicrosoft.com/B2C_1A_signup_signin_saml/Samlp/metadata.