IDP として Azure B2C を使用した Umbraco SAML シングル サインオン (SSO)

Umbraco SAML シングル サインオン (SSO) このプラグインにより、Umbraco アプリケーションの SAML シングル サインオンを有効にする機能が提供されます。 シングル サインオンを使用すると、Umbraco アプリケーションとサービスにアクセスするために XNUMX つのパスワードだけを使用できます。 私たちのプラグインは、SAML 準拠のすべてのプラグインと互換性があります。 IDプロバイダー。 ここでは、Azure B2C を IdP として考慮して、Umbraco と Azure B2C の間でシングル サインオン (SSO) を構成するためのステップバイステップ ガイドを説明します。 Umbraco SSO に提供される機能の詳細については、ここをクリックしてください。 こちら.

前提条件: ダウンロードとインストール

• ダウンロード Umbraco SAML シングル サインオン (SSO) モジュール。
• モジュールをセットアップするには、 umbraco-saml-sso-connector.zip、DLLファイルが見つかります miniorange-saml-sso.dll、設定ファイル saml.config そして 統合.md このファイルには、モジュールをアプリケーションに追加する手順が含まれています。
• Add miniorange-saml-sso.dll Umbraco サイトの bin フォルダー (他の DLL ファイルが存在する場所) にあります。
• 登録する ミニオレンジサムルソ に記載されている手順に従って、umbraco SSO のモジュールを選択します。 統合.md ファイルにソフトウェアを指定する必要があります。
• 提供された構成ファイルを追加します saml.config umbraco サイトのルート ディレクトリにあります。
• 統合後、ブラウザを開き、以下の URL でモジュール ダッシュボードを参照します。
  https://<umbraco-base-url>/?ssoaction=config
• 登録ページまたはログイン ページがポップアップ表示されたら、アプリケーションに miniOrange saml sso モジュールが正常に追加されています。

• 登録する or ログイン モジュールを構成するためのものです。

Azure B2C を IDP として使用して Umbraco シングル サインオン (SSO) を構成する

1. Azure B2C を IDP として構成する

Azure B2C エンドで構成する SAML SP メタデータを取得するには、以下の XNUMX つの方法があります。

A] SAML メタデータ URL またはメタデータ ファイルを使用する:

• 下 サービスプロバイダーの設定 セクションでは、メタデータ URL と SAML メタデータをダウンロードするオプションを見つけることができます。
• メタデータ URL をコピーするか、メタデータ ファイルをダウンロードして、Azure B2C 側で同じように構成します。
• 以下のスクリーンショットを参照してください。
  
  

B] メタデータを手動でアップロードする:

• [サービス プロバイダーの設定] セクションから、SP エンティティ ID、ACS URL、シングル ログアウト URL などのサービス プロバイダーのメタデータを手動でコピーし、構成のためにアイデンティティ プロバイダーに提供できます。
• 以下のスクリーンショットを参照してください。
  
  

 Identity Experience Framework アプリケーションを登録する

• ログインする Azure B2C ポータル。
• Azure AD B2C テナントから、 アプリの登録を選択し、「新規登録」を選択します。

• 名前 、IdentityExperienceFrameworkを入力します。
• サポートされているアカウントタイプ選択 この組織ディレクトリのみのアカウント.

• URIをリダイレクトする、 [Web] を選択し、「https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com」と入力します。ここで、your-tenant-name は Azure AD B2C テナントのドメイン名です。

注意：

次のステップで、 「権限」 セクションが表示されない場合は、そのテナントに対してアクティブな AzureAD B2C サブスクリプションがないことが原因である可能性があります。 AzureAD B2C サブスクリプションに関する詳細を確認できます。 こちら 次の手順に従って新しいテナントを作成できます こちら.



• 権限, [openid および offline_access 権限に管理者の同意を与える] チェック ボックスをオンにします。
• 選択 登録する.

• 記録する アプリケーション（クライアント）ID 後のステップで使用します。

 Identity Experience Framework アプリケーションを登録する

• 管理 選択 APIを公開する.
• 選択 スコープを追加するをクリックし、「保存」を選択してデフォルトのアプリケーション ID URI を受け入れ続けます。

• 次の値を入力して、Azure AD B2C テナントでカスタム ポリシーの実行を許可するスコープを作成します。
1. スコープ名: ユーザー偽装
2. 管理者の同意表示名: IdentityExperienceFramework にアクセスする
3. 管理者の同意の説明: サインインしているユーザーに代わってアプリケーションが IdentityExperienceFramework にアクセスできるようにします。
• 選択 スコープを追加

 ProxyIdentityExperienceFramework アプリケーションを登録する

• 選択 アプリの登録、次に選択 新規登録.
• 名前 、「ProxyIdentityExperienceFramework」と入力します。
• サポートされているアカウントタイプ選択 この組織ディレクトリのみのアカウント.

• URIをリダイレクトする、ドロップダウンを使用して選択します パブリッククライアント/ネイティブ (モバイルおよびデスクトップ).
• URIをリダイレクトする、「myapp://auth」と入力します。
• 権限, [openid および offline_access 権限に管理者の同意を与える] チェック ボックスをオンにします。
• 選択 登録する.

• 記録する アプリケーション（クライアント）ID 後のステップで使用します。

 次に、アプリケーションをパブリック クライアントとして扱うように指定します。

• 管理 選択 認証.
• 詳細設定、イネーブル パブリッククライアントフローを許可する (「はい」を選択)。
• 選択 Save.

 次に、IdentityExperienceFramework の登録で前に公開した API スコープにアクセス許可を付与します。

• 管理 選択 API権限.
• 設定された権限選択 権限を追加する.

• 現在地に最も近い 私のAPI タブ、次に選択 アイデンティティ体験フレームワーク アプリケーション。

• 許可、選択 ユーザー偽装 前に定義したスコープ。
• 選択 権限を追加。 指示に従って、次のステップに進む前に数分間待ちます。

• 選択 (テナント名) に管理者の同意を与える.

• 現在サインインしている管理者アカウントを選択するか、少なくともクラウド アプリケーション管理者ロールが割り当てられている Azure AD B2C テナントのアカウントを使用してサインインします。
• 選択 有り.
• 選択 Refreshをクリックし、「Granted for ...」が下に表示されていることを確認します。 Status: スコープの場合は、offline_access、openid、user_impersonation。 権限が反映されるまでに数分かかる場合があります。

 Umbraco アプリケーションを登録する

• 選択 アプリの登録、次に選択 新規登録.
• 次のようなアプリケーションの名前を入力します。 WPアプリ.
• サポートされているアカウントタイプ選択 任意の組織ディレクトリまたは任意の ID プロバイダー内のアカウント。 Azure AD B2C でユーザーを認証する場合.

• URIをリダイレクトするをクリックし、[Web] を選択して、ACS URL を入力します。 サービスプロバイダーの設定 miniOrange Umbraco SAML プラグインのタブ。
• 選択 登録する.

• 管理 APIを公開する.
• ソフトウェアの制限をクリック 作成セッションプロセスで アプリケーション ID URI を入力し、 Save、デフォルト値を受け入れます。

• 保存したら、アプリケーション ID URI をコピーし、 サービスプロバイダーのメタデータ プラグインのタブ。
• コピーした値を SPエンティティID / 発行者 このタブにあるフィールド。
• 保存をクリックします。

 SSO ポリシーの生成

• Azure B2C ポータルから、B2C テナントの [概要] セクションに移動し、テナント名を記録します。
  注意： B2C ドメインが b2ctest.onmicrosoft.com の場合、テナント名は b2ctest です。

• あなたの〜を入力してください Azure B2C テナント名 以下に、IdentityExperienceFramework のアプリケーション ID と、
  上記の手順で登録された ProxyIdentityExperienceFramework アプリ。



Azure B2C テナント名:
IdentityExperienceFramework アプリ ID:
ProxyIdentityExperienceFramework アプリ ID:
追加の属性を選択します	ユーザータイプ 職名 部門 使用場所 ご住所 州 国または地域 市町村 郵便番号 オフィスの電話 携帯電話 物理的な配達オフィス名 年齢層 未成年者の同意 法定年齢層の分類 作成日時 ネットID



• セットアップボタンをクリックすると、セットアップが開始されます Azure B2C ポリシーの生成 ボタンをクリックして SSO ポリシーをダウンロードします。
• ダウンロードしたzipファイルを解凍します。 これには、次の手順で必要となるポリシー ファイルと証明書 (.pfx) が含まれています。

 証明書のセットアップとアップロード

• にサインインする Azureのポータル Azure AD B2C テナントを参照します。

• Policies選択 アイデンティティ エクスペリエンス フレームワーク その後 ポリシーキー.

• 選択 Add、次に選択 [オプション] > [アップロード]
• 名前に「SamlIdpCert」と入力します。 プレフィックス B2C_1A_ がキーの名前に自動的に追加されます。

• アップロード ファイル コントロールを使用して、上記の手順で生成された証明書を SSO ポリシー (tenantname-cert.pfx) とともにアップロードします。
• テナント名として証明書のパスワードを入力し、 をクリックします。 創造する。 たとえば、テナント名が xyzb2c.onmicrosoft.com の場合、パスワードを xyzb2c と入力します。
• B2C_1A_SamlIdpCert という名前の新しいポリシー キーが表示されるはずです。

 署名キーを作成する

• Azure AD B2C テナントの概要ページで、 Policies、 選択する アイデンティティ エクスペリエンス フレームワーク.
• 選択 ポリシーキー 次に選択します Add.
• オプション、「生成」を選択します。
• In 名前 、「TokenSigningKeyContainer」と入力します。
• キータイプ、「RSA」を選択します。
• 主な使用法、「署名」を選択します。

• 選択 創造する.

 暗号化キーを作成する

• Azure AD B2C テナントの概要ページで、 Policies、 選択する アイデンティティ エクスペリエンス フレームワーク.
• 選択 ポリシーキー 次に選択します Add.
• オプション、「生成」を選択します。
• In 名前 、「TokenEncryptionKeyContainer」と入力します。
• キータイプ、「RSA」を選択します。
• 主な使用法、「暗号化」を選択します。

• 選択 創造する.

 ポリシーをアップロードする

• 現在地に最も近い アイデンティティ エクスペリエンス フレームワーク Azure portal の B2C テナントのメニュー項目。

• 選択 カスタムポリシーをアップロードする.

• 以下の順序に従って、上記の手順でダウンロードしたポリシー ファイルをアップロードします。
• TrustFrameworkBase.xml
• TrustFrameworkExtensions.xml
• SignUpOrSignin.xml
• プロファイル編集.xml
• パスワードリセット.xml
• SignUpOrSigninSAML.xml
• ファイルをアップロードすると、Azure によって各ファイルにプレフィックス B2C_1A_ が追加されます。

Umbraco シングル サインオン (SSO) を実現するために、Azure B2C を SAML IDP (アイデンティティ プロバイダー) として正常に構成しました。

2. Umbraco を SP として構成する

注： プラグインのインストール後、Umbraco アプリケーションと Azure B2C の間の信頼をセットアップする必要があります。 SAML メタデータは Azure B2C と共有されるため、シングル サインオンをサポートするように組み込み構成を更新できます。

2.1: SAML メタデータを Azure B2C と共有する

• ソフトウェアの制限をクリック 新しい IDP を追加 Azure B2C で Umbraco シングル サインオン (SSO) を構成します。

• サービスプロバイダーの設定 タブでは、コピーして貼り付けることができます。 メタデータ URL IDP 側または SPメタデータをダウンロードする XML ファイルとして。 さらに、手動でコピーして貼り付けることもできます。 ベースURL, SPエンティティID, ACSのURL.
• SAML メタデータを ID プロバイダーと共有します。

2.2: Azure B2C SAML メタデータのインポート

• 選択 アジュール B2C 以下に示す ID プロバイダーのリストから。

モジュールで SAML ID プロバイダーのメタデータを構成するには、以下の XNUMX つの方法があります。

A] [IDP メタデータのアップロード] ボタンを使用してメタデータをアップロードします。

• アイデンティティ プロバイダーからメタデータ URL またはメタデータ ファイル (.xml 形式のみ) が提供されている場合は、モジュール内でアイデンティティ プロバイダーのメタデータを構成するだけです。 IdPメタデータのアップロード オプションを選択します。
• 以下のスクリーンショットを参照してください

• 使用可能なメタデータ形式に応じて、いずれかのオプションを選択できます。

B] ID プロバイダーのメタデータを手動で構成します。

• を構成した後 ID プロバイダー、それはあなたに提供します IDPエンティティID、IDPシングルサインオンURL & x.509証明書。 これらの値を以下で設定します IDPエンティティID、シングルサインオンURL & SAML X509証明書 それぞれフィールド。
• クリック Save IDP の詳細を保存します。

Umbraco アプリケーションをサービス プロバイダーとして正常に構成しました。

3. SAML SSO のテスト

• クリック こちら Azure B2C で MFA をまだ構成していない場合。 をクリックして、Azure B2C の MFA を無効にすることもできます。 こちら.
• テストする前に、次のことを確認してください。
• Umbraco (SP) SAML メタデータが Azure B2C (IDP) にエクスポートされました。
• Azure B2C (IDP) SAML メタデータを Umbraco (SP) にインポートします。
• 実行した SAML 構成が正しいかどうかをテストするには、次の場所に移動します。 アクションの選択 をクリックします。 テスト構成.

• 注： プラグインの試用版では、XNUMX つの ID プロバイダー (IDP) のみを構成およびテストできます。
• 以下のスクリーンショットは、成功した結果を示しています。 クリック クリックします SSO 統合をさらに続行します。

• モジュール側でエラーが発生した場合は、以下のようなウィンドウが表示されます。

• エラーのトラブルシューティングを行うには、次の手順に従います。
• トラブルシューティング タブで、プラグイン ログを受信するためのトグルを有効にします。


• 有効にすると、次の場所に移動してプラグイン ログを取得できるようになります。 ID プロバイダーの設定 タブをクリックしてクリックします テスト構成.
• ダウンロード ログファイル 解決します タブをクリックして、何が問題だったかを確認してください。
• あなたは共有することができます ログファイル 私たちと一緒に umbracosupport@xecurify.com 私たちのチームが問題を解決するためにご連絡いたします。

4. ログイン設定

• に行く アクションの選択 をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します SSO リンクをコピーする.

• SSO を実行するアプリケーション内のコピーしたリンクを使用します。
• たとえば、次のように使用できます。
  <a href="copied-sso-link”>Login</a>"

5. ログアウト設定

• SLO を実行する Umbraco 内のリンクとして次の URL を使用します。
  https://umbraco-base-url/?ssoaction=logout
• たとえば、次のように使用できます。
  <a href="https://umbraco-base-url/?ssoaction=logout”>Logout</a>"

設定することもできます nopCommerce SAML シングル サインオン (SSO) などのアイデンティティプロバイダーを含むモジュール ADFS、Azure AD、Bitium、Centrify、G Suite、JBoss Keycloak、Okta、OneLogin、Salesforce、AWS Cognito、OpenAM、Oracle、PingFederate、PingOne、RSA SecureID、Shibboleth-2、Shibboleth-3、SimpleSAML、WSO2 または独自のカスタム ID プロバイダーを使用することもできます。 ID プロバイダーのリストを確認する こちら.

その他のリソース

• DNN SAML シングル サインオン (SSO)
• Umbraco SAML シングル サインオン (SSO)
• ASP.NET SAML シングル サインオン (SSO)
• nopCommerce SAML シングル サインオン (SSO)
• DNN REST API 認証