Atlassian SAML SSO の IdP としての Azure B2C

ステップ 1: Azure AD B2C を ID プロバイダーとしてセットアップする

Azure AD B2C を ID プロバイダーとして構成するには、次の手順に従います。

 IdentityExperienceFramework アプリケーションを登録する

• Azure AD B2C テナントから、 アプリの登録、次に選択 新規登録。

• 名前 、IdentityExperienceFrameworkを入力します。
• サポートされているアカウントタイプ選択 この組織ディレクトリのみのアカウント.

• URIをリダイレクトするをクリックし、「Web」を選択して、次のように入力します。 https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com ここで、your-tenant-name は Azure AD B2C テナントのドメイン名です。
• 権限、選択 openid および offline_access 権限チェックボックスに管理者の同意を与えます。 今、選択します 登録する.

• 記録する アプリケーション（クライアント）ID 後のステップで使用します。

• API を公開するには、以下にスコープを追加します。 管理 選択 APIを公開する.
• 選択 スコープを追加するをクリックし、「保存」を選択してデフォルトのアプリケーション ID URI を受け入れ続けます。

• 次の値を入力して、Azure AD B2C テナントでカスタム ポリシーの実行を許可するスコープを作成します。

スコープ名	ユーザー偽装
管理者の同意表示名	IdentityExperienceFramework にアクセスする
管理者の同意の説明	サインインしているユーザーに代わってアプリケーションが IdentityExperienceFramework にアクセスできるようにします。

• 選択 スコープを追加 & 状態:有効

 ProxyIdentityExperienceFramework アプリケーションを登録する

• 選択 アプリの登録、次に選択 新規登録.
• 名前 、「ProxyIdentityExperienceFramework」と入力します。
• サポートされているアカウントタイプ選択 この組織ディレクトリのみのアカウント.

• URIをリダイレクトする、ドロップダウンを使用して選択します パブリッククライアント/ネイティブ (モバイルおよびデスクトップ).
• URIをリダイレクトする、「myapp://auth」と入力します。
• 権限、選択 openid および offline_access 権限に対する管理者の同意を付与します。 チェックボックスをオンにして選択します 登録する.

• 記録する アプリケーション（クライアント）ID 後のステップで使用します。

• 次に、アプリケーションをパブリック クライアントとして扱うように指定します。 下 管理 選択 認証.
• 詳細設定、イネーブル パブリッククライアントフローを許可する (はいを選択).選択 Save.

• 次に、IdentityExperienceFramework の登録で前に公開した API スコープにアクセス許可を付与します。 下 管理 選択 API権限.
• 設定された権限選択 権限を追加する.

• 現在地に最も近い 私のAPI タブ、次に選択 アイデンティティ体験フレームワーク アプリケーション。

• 許可、選択 ユーザー偽装 前に定義したスコープ。
• 選択 権限を追加。 指示に従って、次のステップに進む前に数分間待ちます。

• 選択 (テナント名) に管理者の同意を与える.

• 現在サインインしている管理者アカウントを選択するか、少なくともクラウド アプリケーション管理者ロールが割り当てられている Azure AD B2C テナントのアカウントを使用してサインインします。 選択する 同意.
• Now Refreshをクリックし、「Granted for ...」が下に表示されていることを確認します。 Status: スコープ: offline_access、openid、および user_impersonation。 権限が反映されるまでに数分かかる場合があります。

 SAML アプリケーションを登録する

• 選択 アプリの登録、次に選択 新規登録.
• アプリケーションの名前を入力します。例:SAML_APP.
• サポートされているアカウントタイプ選択 任意の ID プロバイダーまたは組織ディレクトリ内のアカウント (ユーザー フローによるユーザー認証用).

• URIをリダイレクトする、[Web] を選択し、ACS URL を次のように入力します。 {application_base_url}/plugins/servlet/saml/auth サービスプロバイダー情報 タブ miniOrange SAML SSO プラグイン。 選択 登録する.

• 管理 APIを公開する.
• ソフトウェアの制限をクリック 作成セッションプロセスで アプリケーション ID URI を入力し、 Save、デフォルト値を受け入れます。

• 保存したら、アプリケーション ID URI をコピーし、 サービスプロバイダー情報 プラグインのタブ。コピーした値をその下に貼り付けます。 SPエンティティID このタブにあるフィールド。 「保存」をクリックします。

 SSO ポリシーの生成

• Azure AD B2C ポータルから、B2C テナントの [概要] セクションに移動し、テナント名を記録します。
  注意： B2C ドメインが [demo.onmicrosoft.com] の場合、テナント名は [demo] になります。

• あなたの〜を入力してください Azure B2C テナント名 以下に、アプリケーション ID とともに、 アイデンティティ体験フレームワーク & ProxyIdentityExperienceFramework 上記の手順で登録したアプリ。

Azure B2C テナント名:
IdentityExperienceFramework アプリ ID:
ProxyIdentityExperienceFramework アプリ ID:



• セットアップボタンをクリックすると、セットアップが開始されます B2C ポリシーの生成 ボタンをクリックして SSO ポリシーをダウンロードします。
• ダウンロードしたzipファイルを解凍します。 含まれているのは、 ポリシー ファイルと証明書 (.pfx)、 これは次の手順で必要になります。

 証明書をアップロードする

• にサインインする Azureのポータル Azure AD B2C テナントを参照します。

• Policies選択 アイデンティティ エクスペリエンス フレームワーク その後 ポリシーキー.

• 選択 Add、次に選択 [オプション] > [アップロード]
• 名前を次のように入力します SamlIdpCert。 プレフィックス B2C_1A_ がキーの名前に自動的に追加されます。

• アップロード ファイル コントロールを使用して、上記の手順で生成された証明書を SSO ポリシー (tenantname-cert.pfx) とともにアップロードします。
• テナント名として証明書のパスワードを入力し、 をクリックします。 創造する.
  たとえば、テナント名がdemo.onmicrosoft.comの場合、パスワードをdemoと入力します。
• 次の名前の新しいポリシー キーが表示されるはずです。 B2C_1A_SamlIdpCert。

 署名キーを作成する

• Azure AD B2C テナントの概要ページで、 Policies選択 アイデンティティ エクスペリエンス フレームワーク.
• 選択 ポリシーキー 次に選択します Add.
• オプション、「生成」を選択します。
• In 名前 、「TokenSigningKeyContainer」と入力します。 のために キータイプ、「RSA」を選択します。
• 主な使用法、「署名」を選択します。 さあ、選択してください 創造する.

 暗号化キーを作成する

• 署名キーの作成に使用される最初の XNUMX つの手順に従います。
• 名前 、「TokenEncryptionKeyContainer」と入力します。 のために キータイプ、「RSA」を選択します。
• 主な使用法、「暗号化」を選択します。 さあ、選択してください 創造する.

 ポリシーをアップロードする

• 現在地に最も近い アイデンティティ エクスペリエンス フレームワーク Azure portal の B2C テナントのメニュー項目。

• 選択 カスタムポリシーをアップロードする.

• 以下の順序に従って、上記の手順でダウンロードしたポリシー ファイルをアップロードします。
  

1	TrustFrameworkBase.xml
2	TrustFrameworkExtensions.xml
3	SignUpOrSignin.xml
4	プロファイル編集.xml
5	パスワードリセット.xml
6	SignUpOrSigninSAML.xml

• ファイルをアップロードすると、Azure によって各ファイルにプレフィックス B2C_1A_ が追加されます。

Note: 次のステップでは、IDP メタデータ URL を次のように使用します。
https://tenant-name.b2clogin.com/tenant-name.onmicrosoft.com/B2C_1A_signup_signin_saml/Samlp/metadata.