Azure B2C を IDP として使用する Laravel の SAML シングル サインオン (SSO)

Laravel SAML シングルサインオン (SSO) このプラグインは、laravel アプリケーションに対して SAML シングル サインオンを有効にする機能を提供します。 シングルサインオンを使用すると、laravel アプリケーションとサービスにアクセスするために 2 つのパスワードだけを使用できます。 私たちのプラグインは、SAML 準拠のすべての ID プロバイダーと互換性があります。 ここでは、Azure B2C を IdP として考慮して、Laravel と Azure BXNUMXC の間でシングル サインオン (SSO) を構成するためのステップバイステップ ガイドを説明します。

前提条件: ダウンロードとインストール

• コマンド プロンプト ウィンドウを開き、作業ディレクトリを次のディレクトリに変更します。 Laravelアプリのメインディレクトリ.
• 以下のコマンドを入力します。

  composer require miniorange/saml-laravel-free



• 注意： Laravel 5.4 以前を使用している場合は、次の値を ' に追加する必要があります。プロバイダ' あなたの配列 app.php にあるファイル プロジェクト\構成 フォルダー：プロバイダー\ssoServiceProvider::class (現在の Laravel バージョンを確認するには、次のコマンドを使用します。 php 職人 --version.)


• パッケージが正常にインストールされたら、ブラウザで Laravel アプリに移動し、次のように入力します。 https://<your-host>/mo_admin アドレスバーに。
• パッケージによってデータベースのセットアップが開始され、管理者登録ページにリダイレクトされます。
• をクリックしてアカウントに登録またはログインします。 会員登録する ボタンをクリックしてプラグインを設定します。

• ログイン後、次の画面が表示されます。 サービスプロバイダーの設定 オプションで、サービス プロバイダーのメタデータを取得します。 後で設定する必要があるため、メタデータを手元に置いておいてください ステップ 1.

Laravel への Azure B2C シングル サインオン (SSO) ログインを構成する手順

1. Azure B2C を ID プロバイダーとして構成する

1.1 Azure B2C アプリケーションの登録

 Identity Experience Framework アプリケーションを登録する

• Azure B2C ポータルにログインします
• Azure AD B2C テナントから、 アプリの登録を選択し、「新規登録」を選択します。

• 『Brooklyn Galaxy』のために、倪氏はブルックリン美術館のコレクションからXNUMX点の名品を選び、そのイメージを極めて詳細に描き込みました。これらの作品は、彼の作品とともに中国ギャラリーに展示されています。彼はXNUMX年にこの作品の制作を開始しましたが、最初の硬貨には、当館が所蔵する 名前、IdentityExperienceFrameworkを入力します。
• サポートされているアカウントタイプ選択 この組織ディレクトリのみのアカウント.

• URIをリダイレクトする、 [Web] を選択し、「https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com」と入力します。ここで、your-tenant-name は Azure AD B2C テナントのドメイン名です。

注:

次のステップで、 「権限」 セクションが表示されない場合は、そのテナントに対してアクティブな AzureAD B2C サブスクリプションがないことが原因である可能性があります。 AzureAD B2C サブスクリプションに関する詳細を確認できます。 こちら 次の手順に従って新しいテナントを作成できます こちら.



• 権限, [openid および offline_access 権限に管理者の同意を与える] チェック ボックスをオンにします。
• 選択する 会員登録する.

• 記録する アプリケーション（クライアント）ID 後のステップで使用します。


 Identity Experience Framework アプリケーションを登録する

• 管理 選択 APIを公開する.
• 選択する スコープを追加するをクリックし、「保存」を選択してデフォルトのアプリケーション ID URI を受け入れ続けます。

• 次の値を入力して、Azure AD B2C テナントでカスタム ポリシーの実行を許可するスコープを作成します。
1. スコープ名: ユーザー偽装
2. 管理者の同意表示名: IdentityExperienceFramework にアクセスする
3. 管理者の同意の説明: サインインしているユーザーに代わってアプリケーションが IdentityExperienceFramework にアクセスできるようにします。
• 選択する スコープを追加


 ProxyIdentityExperienceFramework アプリケーションを登録する

• 選択する アプリの登録、次に選択 新規登録.
• 『Brooklyn Galaxy』のために、倪氏はブルックリン美術館のコレクションからXNUMX点の名品を選び、そのイメージを極めて詳細に描き込みました。これらの作品は、彼の作品とともに中国ギャラリーに展示されています。彼はXNUMX年にこの作品の制作を開始しましたが、最初の硬貨には、当館が所蔵する 名前、「ProxyIdentityExperienceFramework」と入力します。
• サポートされているアカウントタイプ選択 この組織ディレクトリのみのアカウント.

• URIをリダイレクトする、ドロップダウンを使用して選択します パブリッククライアント/ネイティブ (モバイルおよびデスクトップ).
• 『Brooklyn Galaxy』のために、倪氏はブルックリン美術館のコレクションからXNUMX点の名品を選び、そのイメージを極めて詳細に描き込みました。これらの作品は、彼の作品とともに中国ギャラリーに展示されています。彼はXNUMX年にこの作品の制作を開始しましたが、最初の硬貨には、当館が所蔵する URIをリダイレクトする、「myapp://auth」と入力します。
• 権限, [openid および offline_access 権限に管理者の同意を与える] チェック ボックスをオンにします。
• 選択する 会員登録する.

• 記録する アプリケーション（クライアント）ID 後のステップで使用します。


 次に、アプリケーションをパブリック クライアントとして扱うように指定します。

• 管理 選択 認証.
• 詳細設定、イネーブル パブリッククライアントフローを許可する (「はい」を選択)。
• 選択する Save.


 次に、IdentityExperienceFramework の登録で前に公開した API スコープにアクセス許可を付与します。

• 管理 選択 API権限.
• 設定された権限選択 権限を追加する.

• まず 私のAPI タブ、次に選択 アイデンティティ体験フレームワーク アプリケーション。

• 許可、選択 ユーザー偽装 前に定義したスコープ。
• 選択する 権限を追加。 指示に従って、次のステップに進む前に数分間待ちます。

• 選択する (テナント名) に管理者の同意を与える.

• 現在サインインしている管理者アカウントを選択するか、少なくともクラウド アプリケーション管理者ロールが割り当てられている Azure AD B2C テナントのアカウントを使用してサインインします。
• 選択する あり.
• 選択する Refreshをクリックし、「Granted for ...」が下に表示されていることを確認します。 ステータス スコープの場合は、offline_access、openid、user_impersonation。 権限が反映されるまでに数分かかる場合があります。


 WordPress アプリケーションを登録する

• 選択する アプリの登録、次に選択 新規登録.
• 次のようなアプリケーションの名前を入力します。 WordPress.
• サポートされているアカウントタイプ選択 任意の組織ディレクトリまたは任意の ID プロバイダー内のアカウント。 Azure AD B2C でユーザーを認証する場合.

• URIをリダイレクトするをクリックし、[Web] を選択して、ACS URL を入力します。 サービスプロバイダーのメタデータ miniOrange SAML プラグインのタブ。
• 選択する 会員登録する.

• 管理 APIを公開する.
• ソフトウェアの制限をクリック 作成セッションプロセスで アプリケーション ID URI を入力し、 Save、デフォルト値を受け入れます。

• 保存したら、アプリケーション ID URI をコピーし、 SPエンティティID / 発行者 laravel samlプラグインの下のフィールド。
• 保存をクリックします。

1.2 SSO ポリシーの生成

• Azure B2C ポータルから、B2C テナントの [概要] セクションに移動し、テナント名を記録します。
  注: B2C ドメインが b2ctest.onmicrosoft.com の場合、テナント名は b2ctest です。

• あなたの〜を入力してください Azure B2C テナント名 以下に、IdentityExperienceFramework のアプリケーション ID と、
  上記の手順で登録された ProxyIdentityExperienceFramework アプリ。



Azure B2C テナント名:
IdentityExperienceFramework アプリ ID:
ProxyIdentityExperienceFramework アプリ ID:



• 以下を行うには、 Azure B2C ポリシーの生成 ボタンをクリックして SSO ポリシーをダウンロードします。
• ダウンロードしたzipファイルを解凍します。 これには、次の手順で必要となるポリシー ファイルと証明書 (.pfx) が含まれています。

1.3 証明書のセットアップ

注:

次のステップで、 「アイデンティティエクスペリエンスフレームワーク」 をクリックできない場合は、そのテナントに対してアクティブな Azure AD B2C サブスクリプションがないことが原因である可能性があります。 Azure AD B2C サブスクリプションに関する詳細を確認できます。 こちら 次の手順に従って新しいテナントを作成できます こちら.

 証明書をアップロードする

• にサインインする Azureのポータル Azure AD B2C テナントを参照します。

• 政策選択 アイデンティティ エクスペリエンス フレームワーク その後 ポリシーキー.

• 選択する 追加、次に選択 [オプション] > [アップロード]
• 名前に「SamlIdpCert」と入力します。 プレフィックス B2C_1A_ がキーの名前に自動的に追加されます。

• アップロード ファイル コントロールを使用して、上記の手順で生成された証明書を SSO ポリシー (tenantname-cert.pfx) とともにアップロードします。
• テナント名として証明書のパスワードを入力し、 をクリックします。 創造する。 たとえば、テナント名が xyzb2c.onmicrosoft.com の場合、パスワードを xyzb2c と入力します。
• B2C_1A_SamlIdpCert という名前の新しいポリシー キーが表示されるはずです。

 署名キーを作成する

• Azure AD B2C テナントの概要ページで、 政策選択 アイデンティティ エクスペリエンス フレームワーク.
• 選択する ポリシーキー 次に選択します 追加.
• 『Brooklyn Galaxy』のために、倪氏はブルックリン美術館のコレクションからXNUMX点の名品を選び、そのイメージを極めて詳細に描き込みました。これらの作品は、彼の作品とともに中国ギャラリーに展示されています。彼はXNUMX年にこの作品の制作を開始しましたが、最初の硬貨には、当館が所蔵する オプション、「生成」を選択します。
• In 名前、「TokenSigningKeyContainer」と入力します。
• 『Brooklyn Galaxy』のために、倪氏はブルックリン美術館のコレクションからXNUMX点の名品を選び、そのイメージを極めて詳細に描き込みました。これらの作品は、彼の作品とともに中国ギャラリーに展示されています。彼はXNUMX年にこの作品の制作を開始しましたが、最初の硬貨には、当館が所蔵する キータイプ、「RSA」を選択します。
• 『Brooklyn Galaxy』のために、倪氏はブルックリン美術館のコレクションからXNUMX点の名品を選び、そのイメージを極めて詳細に描き込みました。これらの作品は、彼の作品とともに中国ギャラリーに展示されています。彼はXNUMX年にこの作品の制作を開始しましたが、最初の硬貨には、当館が所蔵する 主な使用法、「署名」を選択します。

• 選択する 創造する.

 暗号化キーを作成する

• Azure AD B2C テナントの概要ページで、 政策選択 アイデンティティ エクスペリエンス フレームワーク.
• 選択する ポリシーキー 次に選択します 追加.
• 『Brooklyn Galaxy』のために、倪氏はブルックリン美術館のコレクションからXNUMX点の名品を選び、そのイメージを極めて詳細に描き込みました。これらの作品は、彼の作品とともに中国ギャラリーに展示されています。彼はXNUMX年にこの作品の制作を開始しましたが、最初の硬貨には、当館が所蔵する オプション、「生成」を選択します。
• In 名前、「TokenEncryptionKeyContainer」と入力します。
• 『Brooklyn Galaxy』のために、倪氏はブルックリン美術館のコレクションからXNUMX点の名品を選び、そのイメージを極めて詳細に描き込みました。これらの作品は、彼の作品とともに中国ギャラリーに展示されています。彼はXNUMX年にこの作品の制作を開始しましたが、最初の硬貨には、当館が所蔵する キータイプ、「RSA」を選択します。
• 『Brooklyn Galaxy』のために、倪氏はブルックリン美術館のコレクションからXNUMX点の名品を選び、そのイメージを極めて詳細に描き込みました。これらの作品は、彼の作品とともに中国ギャラリーに展示されています。彼はXNUMX年にこの作品の制作を開始しましたが、最初の硬貨には、当館が所蔵する 主な使用法、「暗号化」を選択します。

• 選択する 創造する.

1.4 ポリシーのアップロード

• まず アイデンティティ エクスペリエンス フレームワーク Azure portal の B2C テナントのメニュー項目。

• 選択する カスタムポリシーをアップロードする.

• 以下の順序に従って、上記の手順でダウンロードしたポリシー ファイルをアップロードします。
• TrustFrameworkBase.xml
• TrustFrameworkExtensions.xml
• SignUpOrSignin.xml
• プロファイル編集.xml
• パスワードリセット.xml
• SignUpOrSigninSAML.xml
• ファイルをアップロードすると、Azure によって各ファイルにプレフィックス B2C_1A_ が追加されます。

WordPress Azure B2C シングル サインオン (SSO) ログインを実現するための SAML IdP (アイデンティティ プロバイダー) として Azure B2C を正常に構成し、WordPress (WP) サイトへの安全なログインを確保しました。

2. Laravel SAML プラグインをサービスプロバイダーとして設定する

• に行きます miniOrange Laravel SAML 2.0 SSO プラグインを選択してクリックします ファイルを選択してください ボタンの横にある ミータデータのアップロード オプションを選択します。
• IDP からダウンロードしたメタデータ ファイルを選択し、をクリックします アップロード


• ソフトウェアの制限をクリック テスト構成 ボタンをクリックして、行った SAML 構成が正しいかどうかをテストします。 テスト構成が成功すると、アイデンティティ プロバイダーから返されたさまざまなユーザー属性をテスト構成テーブルに取得できます。

3. SSO オプション

• ユーザーは、 シングルサインオン ログインページに生成されるボタン。 このページがまだない場合は、実行してください php 職人の make:auth & PHP職人が移行する 認証モジュールを生成します。
  
  

このガイドでは、正常に構成されています Azure B2C SAML シングル サインオン (Azure AD SSO ログイン) 選択する IdP としての Azure B2C の三脚と SPとしてのLaravel miniOrange プラグインの SAML シングル サインオン – SSO ログインを使用します。 このソリューションにより、Laravel サイトへの安全なアクセスを展開する準備が整います。 Azure B2C ログイン 数分以内に資格情報を取得します。

その他のリソース

• シングル サインオン (SSO) のガイド
• 「https://laravel.com/docs/5.8/installation」