Guide för att konfigurera ASP.NET Core SAML SSO med AzureB2C som IDP

Förutsättningar: Ladda ner och installation

• Version .NET 5 och senare
• Version .NET Core 2.1 och .NET Core 3.1
• . Framework NET

• Logga in till http://portal.miniorange.com/ och navigera till Nedladdningar fliken. Därifrån letar du upp ditt köpta plugin och klickar på Hämta Plugin för att ladda ner zip-filen för plugin-programmet.

• Extrahera den nedladdade zip-filen till din dator och placera nuget-paketfilen (.nupkg-filen) i en mapp som "C:\miniOrangePackages"
• Kör följande kommando i din VS-terminal för att lägga till den som en paketkälla:

dotnet nuget add source C:\miniOrangePackages--name miniOrangePackage


• Öppna ditt projekt i terminalen:

cd C:\Path\To\YourProject


• Installera paketet i ditt projekt med hjälp av kommandot nedan:

dotnet add package miniOrange.SAML.SSO --source miniOrangePackage


OR

• Efter att du har placerat NuGet-paketet (.nupkg-filen) i en lokal mapp kan du istället för att använda terminalen även installera det med Visual Studio genom att följa stegen nedan:
• Öppna din .NET-applikation i Visual Studio, klicka på Verktyg i det övre navigeringsfältet och navigera till NuGet-pakethanterare → Hantera NuGet-paket för lösningen.

• Ett nytt fönster öppnas; klicka på kugghjulsikonen bredvid rullgardinsmenyn Paketkälla.

• Ett popup-fönster öppnas; välj Paketkällor från den vänstra navigeringspanelen klickar du på plustecknet (+) ikon, ange en namn För paketkällan, ange sökvägen till mappen där du placerade NuGet-paketet i Källa fältet och klicka sedan på Uppdatering och äntligen klicka OK för att spara ändringarna, som visas på bilden.

• Efter att du stängt popup-fönstret, välj den nyligen tillagda paketkällan från Paketkälla falla ner.

• Klicka nu på Bläddra fliken, sök efter miniOrange.SAML.SSO, välj paketet från resultaten och klicka på Installera.

• Obs: För att integrera miniOrange ASP.NET SAML SSO-mellanvaran i din applikation, måste du lägga till nedanstående namnområden, tjänster och mellanprogram i ditt projekt, nedan är ett exempel på implementering som referens.
  Inkludera endast det markerade avsnittet nedan i Program.cs filen för din ansökan.

  using miniOrange.saml;
  using System.Reflection
  var builder=WebApplication.CreateBuilder(args);

  // Add services to the container.
  builder.Services.AddRazorPages();
  builder.Services.AddminiOrangeServices(Assembly.GetExecutingAssembly());

  var app = builder.Build();
        if(!app.Environment.IsDevelopment())
  {
    app.UseExceptionHandler("/Error");
    app.UseHsts();
  }

  app.UseHttpsRedirection();
  app.UseRouting();
  app.UseAuthorization();
  app.MapRazorPages();

  app.UseCookiePolicy();
  app.UseAuthentication();

  #if NET9_0_OR_GREATER
  app.MapStaticAssets();
  #else
  app.UseStaticFiles();
  #endif

  app.UseminiOrangeSAMLSSOMiddleware();
  app.Run();


• Logga in till http://portal.miniorange.com/ och navigera till Nedladdningar fliken. Därifrån letar du upp ditt köpta plugin och klickar på Hämta Plugin för att ladda ner zip-filen för plugin-programmet.

• Extrahera den nedladdade zip-filen till din dator och placera nuget-paketfilen (.nupkg-filen) i en mapp som "C:\miniOrangePackages"
• Kör följande kommando i din VS-terminal för att lägga till den som en paketkälla:

dotnet nuget add source C:\miniOrangePackages--name miniOrangePackage


• Öppna ditt projekt i terminalen:

cd C:\Path\To\YourProject


• Installera paketet i ditt projekt med hjälp av kommandot nedan:

dotnet add package miniOrange.SAML.SSO --source miniOrangePackage


OR

• Efter att du har placerat NuGet-paketet (.nupkg-filen) i en lokal mapp kan du istället för att använda terminalen även installera det med Visual Studio genom att följa stegen nedan:
• Öppna din .NET-applikation i Visual Studio, klicka på Verktyg i det övre navigeringsfältet och navigera till NuGet-pakethanterare → Hantera NuGet-paket för lösningen.

• Ett nytt fönster öppnas; klicka på kugghjulsikonen bredvid rullgardinsmenyn Paketkälla.

• Ett popup-fönster öppnas; välj Paketkällor från den vänstra navigeringspanelen klickar du på plustecknet (+) ikon, ange en namn För paketkällan, ange sökvägen till mappen där du placerade NuGet-paketet i Källa fältet och klicka sedan på Uppdatering och äntligen klicka OK för att spara ändringarna, som visas på bilden.

• Efter att du stängt popup-fönstret, välj den nyligen tillagda paketkällan från Paketkälla falla ner.

• Klicka nu på Bläddra fliken, sök efter miniOrange.SAML.SSO, välj paketet från resultaten och klicka på Installera.

• Obs: För att integrera miniOrange ASP.NET SAML SSO-mellanvaran i din applikation, måste du lägga till nedanstående namnområden, tjänster och mellanprogram i ditt projekt, nedan är ett exempel på implementering som referens.
  Inkludera endast det markerade avsnittet nedan i Program.cs filen för din ansökan.

  using miniOrange.saml;
  using System.Reflection;

  public class Startup
  {

    public Startup(IConfiguration configuration)
    {
      Configuration = configuration;
    }
    public IConfiguration Configuration { get; }

    // This method gets called by the runtime. Use this method to add services to the container.
    public void ConfigureServices(IServiceCollection services)
    {
      services.AddRazorPages();
      services.AddminiOrangeServices(Assembly.GetExecutingAssembly());
    }

    // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
    public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    {
      if (env.IsDevelopment())
      {
        app.UseDeveloperExceptionPage();
      }
      else
      {
        app.UseExceptionHandler("/Error");
        // The default HSTS value is 30 days. You may want to change this for production scenarios, see         https://aka.ms/aspnetcore-hsts.
        app.UseHsts();
      }

      app.UseHttpsRedirection();

      app.UseCookiePolicy();
      app.UseAuthentication();

      #if NET9_0_OR_GREATER
      app.MapStaticAssets();
      #else
      app.UseStaticFiles();
      #endif

      app.UseminiOrangeSAMLSSOMiddleware();

      app.UseRouting();
      app.UseAuthorization();
      app.UseEndpoints(endpoints =>
      {
        endpoints.MapRazorPages();
      });
    }
  }


• Efter integreringen öppnar du din webbläsare och bläddrar i anslutningspanelen med webbadressen nedan:
  

• Om inloggningssidan dyker upp har du lagt till miniOrange SAML SSO-mellanprogramvaran i din applikation.

• Logga in med ditt licensierade miniOrange-konto för att konfigurera mellanprogramvaran.
• Efter inloggning, den Kontoinställningar instrumentpanelen öppnas. Ange licensnyckeln för att aktivera plugin-programmet, som du får efter att du loggat in på portal.miniorange.com och navigerar till Hantera licens → Licensnycklar.

• Markera sedan rutan "Jag har läst ovanstående två villkor och jag vill aktivera plugin-programmet", och klicka på Aktivera licens knapp.

A] Använda SAML-metadata-URL eller metadatafil

• I Menyn för plugininställningar, leta efter Inställningar för tjänsteleverantör. Under det kan du hitta metadata-URLen samt möjligheten att ladda ner SAML-metadata.

• Kopiera metadata-URL eller ladda ned metadatafilen för att konfigurera densamma på din identitetsleverantör.

• Du kan hänvisa till skärmdumpen nedan:

B] Ladda upp metadata manuellt

• Från Inställningar för tjänsteleverantör avsnittet kan du manuellt kopiera tjänsteleverantörens metadata, som SP Entity ID, ACS URL, Single Logout URLoch dela den med din identitetsleverantör för konfiguration.
• Du kan också ladda ner SP-certifikatet genom att klicka på Ladda ner SP-certifikat och lämna den till din identitetsleverantör om det behövs.
• Enligt Krypteringscertifikat avsnittet, välj lämplig certifikattyp enligt dina krav.
• När du har slutfört ovanstående steg klickar du på Spara för att tillämpa konfigurationen.

• Du kan hänvisa till skärmdumpen nedan:

Registrera applikationen Identity Experience Framework

• Logga in Azure B2C Portal.
• Från Azure AD B2C-klienten väljer du AppregistreringarOch väljer sedan Ny registrering.

• För Namn , ange IdentityExperienceFramework.
• Enligt Kontotyper som stöds, Välj Endast konton i den här organisationskatalogen.

• Enligt Omdirigera URI, välj Webb och ange sedan "https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com", där your-tenant-name är ditt Azure AD B2C-klientdomännamn.

• Enligt behörigheter, Välj Ge administratörsmedgivande till behörigheter för openid och offline_access kryssrutan.
• Klicka på Registrera.

• Spela in Program (klient) ID för användning i ett senare steg.

Registrera applikationen Identity Experience Framework

• Enligt hantera, Välj Exponera ett API.
• Välja Lägg till ett omfång, välj sedan Spara och fortsätt att acceptera standardprogram-ID-URI.

• Ange följande värden för att skapa ett omfång som tillåter anpassad policykörning i din Azure AD B2C-klient:
• Omfattningsnamn: användarimitation
• Visningsnamn för administratörssamtyckeÅtkomst till IdentityExperienceFramework
• Beskrivning av administratörens samtyckeTillåt att applikationen får åtkomst till IdentityExperienceFramework för den inloggade användarens räkning.

• Välja Lägg till omfattning.

Registrera applikationen ProxyIdentityExperienceFramework

• Välja AppregistreringarOch väljer sedan Ny registrering.
• För Namn , ange ProxyIdentityExperienceFramework.
• Enligt Kontotyper som stöds, Välj Endast konton i den här organisationskatalogen.

• Enligt Omdirigera URI, använd rullgardinsmenyn för att välja Offentlig klient/native (mobil & desktop).
• För Omdirigera URI, ange myapp://auth.
• Enligt behörigheter, markera kryssrutan Ge administratörssamtycke till behörigheter för openid och offline_access.
• Välja Registrera.

• Spela in Program (klient) ID för användning i ett senare steg.

Ange därefter att ansökan ska behandlas som en offentlig klient

• Enligt hantera, Välj Autentisering.
• Enligt Avancerade inställningar, Gör det möjligt Tillåt offentliga kundflöden (välj Ja).
• Välja Spara.

Ge nu behörigheter till API-omfattningen som du visade tidigare i IdentityExperienceFramework-registreringen

• Enligt hantera, Välj API-behörigheter.
• Enligt Konfigurerade behörigheter, Välj Lägg till en behörighet.

• Välj Mina API:er och välj sedan IdentityExperienceFramework ansökan.

• Enligt tillstånd, Välj user_impersonation omfattning som du definierade tidigare.
• Välja Lägg till behörigheter. Vänta några minuter enligt anvisningarna innan du fortsätter till nästa steg.

• Välja Ge administratörsmedgivande för (ditt hyresgästnamn).

• Välj ditt för närvarande inloggade administratörskonto eller logga in med ett konto i din Azure AD B2C-klient som har tilldelats åtminstone rollen som molnapplikationsadministratör.
• Välja Ja.
• Välja refresh, och kontrollera sedan att "Beviljas för ..." visas under Status för scopes - offline_access, openid och user_impersonation. Det kan ta några minuter innan behörigheterna sprids.

Registrera ASP.NET-applikationen

• Välj appregistreringar och sedan ny registrering.
• Ange ett namn för applikationen, till exempel: WP-app.
• Enligt Kontotyper som stöds, Välj Konton i en organisationskatalog eller vilken identitetsleverantör som helst. För autentisering av användare med Azure AD B2C.

• Enligt Omdirigera URI, välj Webb och ange sedan ACS URL från Inställningar för tjänsteleverantör fliken i miniOrange ASP.NET SAML-pluginet, som nämns i Steg 2B ovan.
• Välja Registrera.

• Enligt hantera, Klicka på Exponera ett API.
• Klicka på uppsättning för applikations-ID-URI och klicka sedan på Spara, accepterar standardvärdet.

• När du har sparat kopierar du applikations-ID-URI och navigerar till Tjänsteleverantörens metadata fliken i plugin-programmet.
• Klistra in det kopierade värdet under SP Entity ID / Emittent fältet på den här fliken.
• Klicka på Spara.

Generera SSO-policyer

• Från vår Azure B2C-portal, navigera till avsnittet Översikt för din B2C-klient och registrera ditt klientnamn.
  ANMÄRKNINGAROm din B2C-domän är b2ctest.onmicrosoft.com, då är ditt hyresgästnamn b2ctest.

• Ange din Azure B2C klientnamn nedan, tillsammans med program-ID:t för IdentityExperienceFramework- och ProxyIdentityExperienceFramework-apparna som registrerats i stegen ovan.

• Klicka på Generera Azure B2C-policyer knappen för att ladda ner SSO-policyerna.
• Extrahera den nedladdade zip-filen. Den innehåller policyfilerna och certifikatet (.pfx), som du behöver i följande steg.

Konfigurera och ladda upp certifikat

• Logga in på Azur portalen och bläddra till din Azure AD B2C-klient.

• Enligt policies, Välj Identity Experience Framework och då Policynycklar.

• Välja Lägg tillOch väljer sedan Alternativ > Ladda upp.
• Ange namnet som SamlIdpCert. Prefixet B2C_1A_ läggs automatiskt till i namnet på din nyckel.

• Använd uppladdningsfilkontrollen och ladda upp ditt certifikat som genererades i stegen ovan tillsammans med SSO-policyerna (tenantname-cert.pfx).
• Ange certifikatets lösenord som ditt klientnamn och klicka på Skapa. Om ditt klientnamn till exempel är xyzb2c.onmicrosoft.com anger du lösenordet som xyzb2c.
• Du bör kunna se en ny policynyckel med namnet B2C_1A_SamlIdpCert.

Skapa signeringsnyckeln

• På översiktssidan för din Azure AD B2C-klient, under policies, Välj Identity Experience Framework.
• Välja Policynycklar och välj sedan Lägg till.
• För Montering, välj Generera.
• In Namn , ange TokenSigningKeyContainer.
• För Nyckeltyp, välj RSA.
• För Nyckelanvändning, välj Signatur.

• Välja Skapa.

Skapa krypteringsnyckeln

• På översiktssidan för din Azure AD B2C-klient, under policies, Välj Identity Experience Framework.
• Välja Policynycklar och välj sedan Lägg till.
• För Montering, välj Generera.
• In Namn , ange TokenEncryptionKeyContainer.
• För Nyckeltyp, välj RSA.
• För Nyckelanvändning, välj Kryptering.

• Välja Skapa.

Ladda upp policyerna

• Välj Identity Experience Framework menyalternativ i din B2C-klient i Azure-portalen.

• Välja Ladda upp anpassad policy.

• Ladda upp policyfilerna som laddats ner i stegen ovan enligt följande ordning:
• TrustFrameworkBase.xml
• TrustFrameworkExtensions.xml
• SignUpOrSignin.xml
• ProfilEdit.xml
• PasswordReset.xml
• SignUpOrSigninSAML.xml

• När du laddar upp filerna lägger Azure till prefixet B2C_1A_ till var och en.

Du har konfigurerat Azure B2C som SAML IDP (identitetsleverantör) för att uppnå ASP.NET Single Sign-On (SSO).

• Klicka på Lägg till ny IDP knappen för att konfigurera en ny identitetsleverantör.

• Enligt plugin Settings fliken, välj AzureB2C som din identitetsleverantör från listan som visas.

Det finns två sätt som beskrivs nedan med vilka du kan konfigurera din SAML Identity Provider-metadata i mellanvaran.

A] Ladda upp metadata med knappen Ladda upp IDP-metadata:

• Om din identitetsleverantör har försett dig med metadata-URL eller metadatafil (endast .xml-format) kan du helt enkelt konfigurera identitetsleverantörens metadata i mellanvaran med hjälp av Ladda upp IDP-metadata alternativ.

• Kopiera metadata-URL eller ladda ned metadatafilen för att konfigurera densamma på din identitetsleverantör.

• Du kan hänvisa till skärmdumpen nedan:

• Du kan välja vilket som helst av alternativen enligt det metadataformat du har tillgängligt.

B] Konfigurera identitetsleverantörens metadata manuellt:

• Efter att ha konfigurerat din Identitetsleverantör, kommer det att ge dig IDP Entity ID, IDP Single Sign On URL och SAML X509-certifikat fält respektive.

• Klicka Spara för att spara dina IDP-uppgifter.

• Efter att du har laddat upp metadatadetaljerna, navigera till Inställningar för identitetsleverantör sektionen. Håll muspekaren över Välj Åtgärder rullgardinsmenyn och klicka på Testkonfiguration.

• Skärmdumpen nedan visar ett lyckat testresultat. Klicka på Klicka här för att slutföra de återstående SSO-integrationsstegen.

• Om du upplever något fel i mellanprogramvaran klickar du på Felsökning knapp.

• För att felsöka felet kan du följa stegen nedan:
• Under fliken Felsök aktiverar du växlingsknappen för att ta emot plugin-loggarna och återskapa problemet.
• Ladda ner loggfilen genom att klicka på Ladda ner loggfilen knappen för att se vad som gick fel.

• Du kan dela loggfil med oss ​​kl aspnetsupport@xecurify.com och vårt team kommer att kontakta dig för att lösa ditt problem.

• När du har testat konfigurationen, mappa dina applikationsattribut med attributen för identitetsleverantören (IdP).

• Från vänstermenyn i miniOrange ASP.NET SAML SSO Middleware klickar du på Attribut/rollmappning fliken som visas på bilden.
• Kartlägg det som krävs IdP-attribut (såsom användarnamn, e-postadress, förnamn och efternamn) som mottagits i SAML-svaret till motsvarande fält.

• AnmärkningarAlla mappade attribut lagras i sessionen så att du kan komma åt dem i din applikation.
• När attributen är mappade klickar du på Spara attributmappning att tillämpa ändringar.

Anpassad attributmappning

• Om du vill skicka ytterligare attribut från din IdP anger du attributnamnet och motsvarande attributvärde under Anpassad attributmappning.
• Från Attributvärde (anspråk) I rullgardinsmenyn väljer du ett av anspråken du fick i resultaten från testkonfigurationen. Till exempel: Namn-ID.
• Dessa anspråk motsvarar de attribut som skickats av din identitetsleverantör (IdP).

• Dessa anspråk motsvarar de attribut som skickats av din identitetsleverantör (IdP).

• I Attributnamn I fältet anger du namnet på attributet så som du vill att det ska visas eller användas i din .NET-applikation.
• Du kan lägga till flera mappningar om din applikation kräver flera attribut genom att klicka på + knapp.
• När du har definierat alla nödvändiga mappningar klickar du på Spara attributmappning för att lagra konfigurationen.

• Plugin-programmet kommer nu att översätta de inkommande SSO-anspråken från din identitetsleverantör (IdP) till de anpassade attributnamnen som definieras här.

Rollkartläggning

• I Rollkartläggning avsnitt, ange Gruppattributnamn exakt som konfigurerat i din identitetsleverantör för att hämta användargruppsinformationen.
• Ange Rollnamn mottagen från identitetsleverantören och mappa den till lämplig Rollvärde I fältet Rollvärde anger du de roller som definierats i ditt .NET-program.
• Till exempel: Mappa IdP-gruppen Grupp1 eller Grupp10 som mottagits under attributet UserGroups till motsvarande roll som konfigurerats i ditt .NET-program.
• Efter att du har lagt till de nödvändiga mappningarna klickar du på Spara rollmappning för att spara konfigurationen.

Domänbegränsning

• Den här funktionen kan användas för att begränsa användaråtkomst till webbplatsen baserat på domänen för deras mappade "E-post"-attribut.
• I E-postattribut I fältet anger du attributnamnet som innehåller användarens e-postadress som mottagits från din identitetsleverantör (IdP).

• I Domain Name I fältet anger du den/de domän(er) du vill tillåta eller begränsa, separerade med kommatecken om du lägger till flera domäner.
• aktivera Begränsa-växling baserat på ditt behov av att konfigurera åtkomst till svartlista eller vitlista.
• När du har slutfört konfigurationen klickar du på Spara domäner för att spara inställningarna.

• Med de här stegen kan du hämta SSO-användarinformationen i ditt program i form av användaranspråk.
• Kopiera och klistra bara in kodavsnittet var du vill komma åt användarattributen.

• Du kan också kopiera integrationskoden nedan:

• Hök på Välj Åtgärder och klicka på Kopiera SSO-länk.

• Använd följande URL som en länk i applikationen där du vill utföra SSO:

• Du kan till exempel använda det som:

• Använd följande URL som en länk till din applikation där du vill utföra SLO:

• Du kan till exempel använda det som:

avancerade inställningar

Om du vill använda avancerade inställningar, navigera till avancerade inställningar fliken.

Automatisk omdirigering till IdP

• aktivera Automatisk omdirigering till IdP växlingsknapp för att automatiskt omdirigera användare till den konfigurerade identitetsleverantören under inloggning.
• Välj den IDP dit du vill omdirigera användarna från den specifika URL:en i Standard-IDP falla ner.
• Välj Typ av omdirigering as begränsad or offentliga baserat på ditt krav.
• Om det behövs, ange de URL:er som ska undantas från omdirigering i fältet Undanta URL:er, separerade med kommatecken.
• Klicka på Spara för att lagra konfigurationen korrekt.

Inaktivera administratörsöversikten

• aktivera Inaktivera administratörsöversikten växla för att dölja miniOrange-administratörsinstrumentpanelen och klicka på Spara för att tillämpa ändringarna.

Certifikatinformation

• Navigera till avsnittet Certifikatinformation och välj önskad certifikattyp (Signeringscertifikat eller krypteringscertifikat).
• Klicka på Återskapa certifikat om du vill skapa ett nytt certifikat.

• Klicka sedan på Ansök om nytt certifikat för att tillämpa det uppdaterade certifikatet.

Ladda upp anpassat certifikat

• Navigera till Ladda upp anpassat certifikat avsnittet och välj önskad certifikattyp (Signeringscertifikat eller krypteringscertifikat).
• Klicka på Välj FIL att ladda upp Publik nyckel (.crt) och Privat nyckel (.pfx) filer och ange Lösenord för privat nyckel i det angivna fältet.
• Efter att du har angett de nödvändiga uppgifterna klickar du på Spara för att ladda upp och tillämpa det anpassade certifikatet.