nopCommerce SAML Single Sign-On (SSO) avec Azure B2C comme IDP

nopCommerce SAML Authentification unique (SSO) Le plugin donne la possibilité d'activer l'authentification unique SAML pour vos applications nopCommerce. Grâce à l'authentification unique, vous ne pouvez utiliser qu'un seul mot de passe pour accéder à votre application et à vos services nopCommerce. Notre plugin est compatible avec tous les fournisseurs d'identité compatibles SAML. Ici, nous allons passer en revue un guide étape par étape pour configurer l'authentification unique (SSO) entre nopCommerce et Azure B2C en considérant Azure B2C comme IdP. Pour en savoir plus sur les fonctionnalités que nous proposons pour nopCommerce SSO, cliquez sur ici.

Pré-requis : Téléchargement Et Installation

Télécharger depuis le tableau de bord nopCommerce

• Pour télécharger le plugin zip, connectez-vous en tant qu'administrateur à votre boutique nopCommerce. Dans le tableau de bord d'administration, accédez à Onglet Configuration > Tous les plugins et Thèmes ou recherchez Tous les plugins et thèmes dans la barre de recherche de l'administrateur.
• Recherche pour le Authentification unique SAML (SSO) - miniOrange plugin et cliquez sur le Télécharger bouton pour obtenir le zip.


Depuis le marché nopCommerce

• Vous pouvez télécharger le fichier zip du plugin depuis la boutique nopCommerce - nopCommerce SAML Authentification unique (SSO)
• Pour installer le plugin, connectez-vous en tant qu'administrateur à votre site Web nopCommerce. Dans le tableau de bord d'administration, accédez à Onglet Configuration >> Plugins locaux.
• Dans le coin supérieur droit de la page, sélectionnez le Télécharger un plugin ou un thème bouton pour télécharger le zip du plugin téléchargé. Suivez les instructions plus loin pour installer le plugin.

Étapes pour configurer l'authentification unique (SSO) nopCommerce à l'aide d'Azure B2C comme fournisseur d'identité

1. Configurez Azure B2C en tant qu'IDP

• Vous devez envoyer vos métadonnées SP au fournisseur d'identité, Azure B2C. Pour les métadonnées SP, utilisez l’URL des métadonnées SP ou téléchargez les métadonnées SP sous forme de fichier .xml et téléchargez-les du côté de votre IdP. Vous pouvez trouver ces deux options sous la rubrique Métadonnées du fournisseur de services languette.

• Vous pouvez également ajouter manuellement l'ID d'entité SP et l'URL ACS à partir de Métadonnées du fournisseur de services dans le plugin pour vos configurations IdP.

 Enregistrez l’application Identity Experience Framework

• Se connecter à Portail Azure B2C.
• Dans le locataire Azure AD B2C, sélectionnez Inscriptions d'applications, puis sélectionnez Nouvelle inscription.

• Pour Nom, entrez IdentityExperienceFramework.
• Sous Types de compte pris en charge, sélectionnez Comptes dans ce répertoire organisationnel uniquement.

• Sous URI de redirection, sélectionnez Web, puis entrez « https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com », où votre-tenant-name est le nom de domaine de votre locataire Azure AD B2C.

REMARQUE:

À l'étape suivante, si le 'Autorisations' n’est pas visible, cela peut être la raison pour laquelle vous n’avez pas d’abonnement AzureAD B2C actif pour ce locataire. Vous pouvez trouver les détails concernant l'abonnement AzureAD B2C ici et vous pouvez créer un nouveau locataire en suivant les étapes ici.



• Sous Permissions, cochez la case Accorder le consentement de l'administrateur aux autorisations openid et offline_access.
• Sélectionnez Inscription.

• Enregistrez le ID de l'application (client) pour une utilisation ultérieure.

 Enregistrez l’application Identity Experience Framework

• Sous Gérer, sélectionnez Exposer une API.
• Sélectionnez Ajouter une portée, puis sélectionnez Enregistrer et continuez à accepter l'URI de l'ID d'application par défaut.

• Entrez les valeurs suivantes pour créer une étendue qui permet l’exécution de stratégies personnalisées dans votre locataire Azure AD B2C :
1. Nom de la portée : user_usurpation d'identité
2. Nom d'affichage du consentement de l'administrateur : Accéder à IdentityExperienceFramework
3. Description du consentement de l'administrateur : Autorisez l’application à accéder à IdentityExperienceFramework au nom de l’utilisateur connecté.
• Sélectionnez Ajouter une portée

 Enregistrez l'application ProxyIdentityExperienceFramework

• Sélectionnez Inscriptions d'applications, Puis sélectionnez Nouvelle inscription.
• Pour Nom, saisissez ProxyIdentityExperienceFramework.
• Sous Types de compte pris en charge, sélectionnez Comptes dans ce répertoire organisationnel uniquement.

• Sous URI de redirection, utilisez le menu déroulant pour sélectionner Client public/natif (mobile et ordinateur).
• Pour URI de redirection, saisissez myapp://auth.
• Sous Permissions, cochez la case Accorder le consentement de l'administrateur aux autorisations openid et offline_access.
• Sélectionnez Inscription.

• Enregistrez le ID de l'application (client) pour une utilisation ultérieure.

 Précisez ensuite que l'application doit être traitée comme un client public

• Sous Gérer, sélectionnez Authentification.
• Sous paramètres avancés, activer Autoriser les flux de clients publics (sélectionnez Oui).
• Sélectionnez Épargnez.

 Maintenant, accordez des autorisations à la portée de l'API que vous avez exposée précédemment lors de l'enregistrement IdentityExperienceFramework.

• Sous Gérer, sélectionnez Autorisations API.
• Sous Autorisations configurées, sélectionnez Ajouter une autorisation.

• Sélectionnez le Mes API onglet, puis sélectionnez Cadre d'expérience d'identité .

• Sous Autorisation, Sélectionnez l' user_usurpation d'identité portée que vous avez définie précédemment.
• Sélectionnez Ajouter des autorisations. Comme indiqué, attendez quelques minutes avant de passer à l'étape suivante.

• Sélectionnez Accordez le consentement de l'administrateur pour (nom de votre locataire).

• Sélectionnez votre compte d'administrateur actuellement connecté ou connectez-vous avec un compte dans votre locataire Azure AD B2C auquel a été attribué au moins le rôle d'administrateur d'application Cloud.
• Sélectionnez Oui.
• Sélectionnez Refresh, puis vérifiez que « Accordé pour... » apparaît sous Statut pour les étendues - offline_access, openid et user_impersonation. La propagation des autorisations peut prendre quelques minutes.

 Enregistrez l'application nopCommerce

• Sélectionnez Inscriptions d'applications, Puis sélectionnez Nouvelle inscription.
• Entrez un nom pour l'application tel que : Application WP.
• Sous Types de compte pris en charge, sélectionnez Comptes dans n’importe quel annuaire d’organisation ou n’importe quel fournisseur d’identité. Pour authentifier les utilisateurs avec Azure AD B2C.

• Sous URI de redirection, sélectionnez Web, puis entrez l'URL ACS à partir du Métadonnées du fournisseur de services onglet du plugin miniOrange nopCommerce SAML.
• Sélectionnez Inscription.

• Sous Gérer, cliquer sur Exposer une API.
• Cliquez sur Ensemble pour l'URI de l'ID d'application, puis cliquez sur Épargnez, en acceptant la valeur par défaut.

• Une fois enregistré, copiez l'URI de l'ID d'application et accédez au Métadonnées du fournisseur de services onglet du plugin.
• Collez la valeur copiée sous le ID d'entité SP/émetteur champ prévu dans cet onglet.
• Cliquez sur Enregistrer.

 Générer des politiques SSO

• Depuis notre portail Azure B2C, accédez à la section Présentation de votre locataire B2C et enregistrez le nom de votre locataire.
  REMARQUE: Si votre domaine B2C est b2ctest.onmicrosoft.com, le nom de votre locataire est b2ctest.

• Entrez votre Nom du locataire Azure B2C ci-dessous, ainsi que l'ID d'application pour IdentityExperienceFramework et
  Applications ProxyIdentityExperienceFramework telles qu’enregistrées dans les étapes ci-dessus.



Nom du locataire Azure B2C :
ID de l’application IdentityExperienceFramework :
ID de l’application ProxyIdentityExperienceFramework :
Sélectionnez des attributs supplémentaires	Type d'utilisateur Intitulé de votre projet Département Lieu d'utilisation Adresse Civique État ou province Pays ou région Ville Code Postal Téléphone de bureau Téléphone portable physiqueLivraisonNomBureau Âge Consentement fourni pour les mineurs Classification des groupes d'âge légal DateHeure créée identifiant net



• Cliquez sur le Générer des stratégies Azure B2C bouton pour télécharger les politiques SSO.
• Extrayez le fichier zip téléchargé. Il contient les fichiers de stratégie et le certificat (.pfx), dont vous aurez besoin dans les étapes suivantes.

 Configurer et télécharger des certificats

• Connectez-vous à la Portail Azure et accédez à votre locataire Azure AD B2C.

• Sous Politiques internes, sélectionnez Cadre d'expérience d'identité et alors Clés de politique.

• Sélectionnez Ajouter, Puis sélectionnez Options > Télécharger
• Entrez le nom comme SamlIdpCert. Le préfixe B2C_1A_ est automatiquement ajouté au nom de votre clé.

• À l'aide du contrôle de téléchargement de fichiers, téléchargez votre certificat généré au cours des étapes ci-dessus avec les politiques SSO (tenantname-cert.pfx).
• Saisissez le mot de passe du certificat comme nom de locataire et cliquez sur Création. Par exemple, si le nom de votre locataire est xyzb2c.onmicrosoft.com, entrez le mot de passe sous la forme xyzb2c.
• Vous devriez pouvoir voir une nouvelle clé de stratégie portant le nom B2C_1A_SamlIdpCert.

 Créer la clé de signature

• Sur la page de présentation de votre locataire Azure AD B2C, sous Politiques internes, sélectionner Cadre d'expérience d'identité.
• Sélectionnez Clés de politique puis sélectionnez Ajouter.
• Pour Options, choisissez Générer.
• In Nom, saisissez TokenSigningKeyContainer.
• Pour Type de clé, sélectionnez RSA.
• Pour Utilisation des clés, sélectionnez Signature.

• Sélectionnez Création.

 Créer la clé de chiffrement

• Sur la page de présentation de votre locataire Azure AD B2C, sous Politiques internes, sélectionner Cadre d'expérience d'identité.
• Sélectionnez Clés de politique puis sélectionnez Ajouter.
• Pour Options, choisissez Générer.
• In Nom, saisissez TokenEncryptionKeyContainer.
• Pour Type de clé, sélectionnez RSA.
• Pour Utilisation des clés, sélectionnez Chiffrement.

• Sélectionnez Création.

 Téléchargez les politiques

• Sélectionnez le Cadre d'expérience d'identité élément de menu dans votre locataire B2C dans le portail Azure.

• Sélectionnez Télécharger une stratégie personnalisée.

• Conformément à l'ordre suivant, téléchargez les fichiers de stratégie téléchargés lors des étapes ci-dessus :
• TrustFrameworkBase.xml
• TrustFrameworkExtensions.xml
• InscriptionOuSignin.xml
• ProfilEdit.xml
• Mot de passeRéinitialiser.xml
• InscriptionOuConnexionSAML.xml
• Au fur et à mesure que vous téléchargez les fichiers, Azure ajoute le préfixe B2C_1A_ à chacun.

Vous avez configuré avec succès Azure B2C en tant qu'IdP SAML (fournisseur d'identité) pour obtenir une connexion Azure B2C SSO dans votre application nopCommerce.

2. Configurez nopCommerce en tant que SP

Remarque: Après l'installation du plugin, nous devons configurer la confiance entre votre application nopCommerce et votre compte Azure B2C. Les métadonnées SAML sont partagées avec Azure B2C afin qu'ils puissent mettre à jour leur configuration intégrée pour prendre en charge l'authentification unique.

2.1 : Partager les métadonnées SP SAML avec Azure B2C

• Cliquez sur Ajouter un nouveau fournisseur d'identité pour configurer l'authentification unique (SSO) nopCommerce à l'aide d'Azure B2C comme IDP.

• Sous Métadonnées du fournisseur de services onglet, vous pouvez soit copier-coller le URL des métadonnées de votre côté IDP ou télécharger les métadonnées SP sous forme de fichier XML. De plus, vous avez la possibilité de copier et coller manuellement URL de base, ID d'entité SPet la URL ACS.
• Partagez des métadonnées SAML avec Azure B2C.

2.2 : Importer les métadonnées Azure B2C SAML

• Sous Paramètres du fournisseur d'identité onglet, sélectionnez Azur B2C en tant que fournisseur d'identité préféré.

• Il existe deux méthodes pour configurer nopCommerce en tant que fournisseur de services :
• Pour télécharger les métadonnées d'IDP, vous pouvez soit fournir le URL des métadonnées or télécharger un fichier XML.

• Alternativement, sous le Paramètres du fournisseur d'identité onglet, vous pouvez remplir manuellement les champs obligatoires comme Nom du PDI, ID d'entité IDP ainsi que le URL d'authentification unique et frapper Épargnez.

3. Test de l'authentification unique SAML

• Avant de tester, veuillez vous assurer de ce qui suit :
• Les métadonnées SAML nopCommerce (SP) ont été exportées vers Azure B2C (IDP).
• Importation des métadonnées SAML Azure B2C (IDP) dans nopCommerce (SP).
• Cliquez ici si vous n’avez pas déjà configuré MFA sur Azure B2C. Vous pouvez également désactiver MFA pour Azure B2C en cliquant sur ici.
• Survolez Sélectionnez l'action et cliquez sur le Configuration du test pour vérifier si vous avez configuré correctement le plugin.

• Cliquez Configuration du test pour vérifier si vous avez configuré correctement le plugin.
• En cas de configuration réussie, vous obtiendrez le nom de l'attribut et les valeurs de l'attribut dans la fenêtre de configuration du test.

4. Cartographie des attributs

• Après une configuration de test réussie, cliquez sur Modifier la configuration et accédez à la section Mappage d'attributs.
• Sur le côté droit, vous pouvez voir le tableau de réponses IDP, mapper les noms d'attributs fournis par votre IDP avec les attributs de votre magasin, sous Cartographie des attributs/rôles languette.
• Cliquez sur Épargnez .

5. Activation du SSO dans votre boutique nopCommerce

• Activez le SSO pour votre boutique nopCommerce en faisant glisser le curseur comme indiqué ci-dessous.

• En vertu des Normes sur l’information et les communications, les organismes doivent rendre leurs sites et applications Web accessibles. Ils y parviennent en conformant leurs sites Web au niveau AA des Web Content Accessibility Guidelines (WCAG). Lien de redirection et SSO , utilisez l'URL intitulée Lien SSO de votre boutique dans votre magasin pour lancer le SSO.

Ressources additionnelles

• Authentification unique OAuth (SSO) de nopCommerce
• Connexion Web3 pour les applications ASP.NET
• Authentification unique ASP.NET SAML (SSO)
• Authentification unique (SSO) ASP.NET OAuth
• Authentification unique DNN SAML (SSO)
• Authentification API REST DNN
• Authentification unique Kentico SAML (SSO)