Azure B2C som IdP för Atlassian SAML SSO

Steg 1: Konfigurera Azure AD B2C som identitetsleverantör

Följ stegen nedan för att konfigurera Azure AD B2C som en identitetsleverantör

 Registrera applikationen IdentityExperienceFramework

• Från Azure AD B2C-klienten väljer du AppregistreringarOch väljer sedan Ny registrering.

• För Namn , ange IdentityExperienceFramework.
• Enligt Kontotyper som stöds, Välj Endast konton i den här organisationskatalogen.

• Enligt Omdirigera URI, välj Webb och skriv sedan in https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com där ditt-tenant-name är ditt Azure AD B2C-hyresgästdomännamn.
• Enligt behörigheter, Välj Kryssrutan Ge administratörssamtycke till behörigheter för openid och offline_access. Välj nu Registrera.

• Spela in Program (klient) ID för användning i ett senare steg.

• För att exponera API:t lägg till ett omfång under hantera, Välj Exponera ett API.
• Välja Lägg till ett omfång, välj sedan Spara och fortsätt att acceptera standardprogram-ID-URI.

• Ange följande värden för att skapa ett omfång som tillåter anpassad policykörning i din Azure AD B2C-klient:

Omfattningsnamn	user_impersonation
Visningsnamn för administratörssamtycke	Få tillgång till IdentityExperienceFramework
Beskrivning av administratörens samtycke	Tillåt appen att få åtkomst till IdentityExperienceFramework på uppdrag av den inloggade användaren

• Välja Lägg till omfattning och Status: Aktiverad

 Registrera applikationen ProxyIdentityExperienceFramework

• Välja AppregistreringarOch väljer sedan Ny registrering.
• För Namn , ange ProxyIdentityExperienceFramework.
• Enligt Kontotyper som stöds, Välj Endast konton i den här organisationskatalogen.

• Enligt Omdirigera URI, använd rullgardinsmenyn för att välja Offentlig klient/native (mobil & desktop).
• För Omdirigera URI, ange myapp://auth.
• Enligt behörigheter, Välj Ge administratörsmedgivande till behörigheter för openid och offline_access kryssrutan och välj Registrera.

• Spela in Program (klient) ID för användning i ett senare steg.

• Ange därefter att ansökan ska behandlas som en offentlig klient. Under hantera, Välj Autentisering.
• Enligt Avancerade inställningar, Gör det möjligt Tillåt offentliga kundflöden (välj Ja). Välj Save.

• Ge nu behörigheter till API-omfattningen som du visade tidigare i IdentityExperienceFramework-registreringen. Under hantera, Välj API-behörigheter.
• Enligt Konfigurerade behörigheter, Välj Lägg till en behörighet.

• Välj Mina API:er och välj sedan IdentityExperienceFramework ansökan.

• Enligt tillstånd, Välj user_impersonation omfattning som du definierade tidigare.
• Välja Lägg till behörigheter. Vänta några minuter enligt anvisningarna innan du fortsätter till nästa steg.

• Välja Ge administratörsmedgivande för (ditt hyresgästnamn).

• Välj ditt för närvarande inloggade administratörskonto eller logga in med ett konto i din Azure AD B2C-klient som har tilldelats åtminstone rollen som molnapplikationsadministratör. Välj Acceptera.
• Nu refresh, och kontrollera sedan att "Beviljas för ..." visas under status för omfattningarna: offline_access, openid och user_impersonation. Det kan ta några minuter innan behörigheterna sprids.

 Registrera SAML-applikationen

• Välja AppregistreringarOch väljer sedan Ny registrering.
• Ange ett namn för applikationen, t.ex.:SAML_APP.
• Enligt Kontotyper som stöds, Välj Konton i valfri identitetsleverantör eller organisationskatalog (för autentisering av användare med användarflöden).

• Enligt Omdirigera URI, välj Webb och ange sedan ACS URL som {application_base_url}/plugins/servlet/saml/auth från Tjänsteleverantörsinformation fliken på miniOrange SAML SSO-plugin. Välja Registrera.

• Enligt hantera, Klicka på Exponera ett API.
• Klicka på uppsättning för applikations-ID-URI och klicka sedan på Save, accepterar standardvärdet.

• När du har sparat kopierar du applikations-ID-URI och navigerar till Tjänsteleverantörsinformation fliken i plugin-programmet. Klistra in det kopierade värdet under SP Entity ID fältet på den här fliken. Klicka på Spara.

 Generera SSO-policyer

• Från vår Azure AD B2C-portal, navigera till avsnittet Översikt av din B2C-klient och registrera ditt klientnamn.
  OBS: Om din B2C-domän är demo.onmicrosoft.com, är din hyresgäst namnet demo.

• Ange din Azure B2C klientnamn nedan, tillsammans med ansöknings-ID för IdentityExperienceFramework och ProxyIdentityExperienceFramework appar som registrerats i stegen ovan.

Azure B2C-kundens namn:
IdentityExperienceFramework-app-ID:
ProxyIdentityExperienceFramework app-ID:



• Klicka på Generera B2C-policyer knappen för att ladda ner SSO-policyerna.
• Extrahera den nedladdade zip-filen. Den innehåller policyfiler och certifikat (.pfx), som du behöver i följande steg.

 Ladda upp certifikatet

• Logga in på Azur portalen och bläddra till din Azure AD B2C-klient.

• Enligt policies, Välj Identity Experience Framework och då Policynycklar.

• Välja Lägg tillOch väljer sedan Alternativ > Ladda upp
• Ange namnet som SamlIdpCert. Prefixet B2C_1A_ läggs automatiskt till i namnet på din nyckel.

• Använd uppladdningsfilkontrollen och ladda upp ditt certifikat som genererades i stegen ovan tillsammans med SSO-policyerna (tenantname-cert.pfx).
• Ange certifikatets lösenord som ditt hyresgästnamn och klicka på Skapa.
  Till exempel, om din klients namn är demo.onmicrosoft.com, ange lösenordet som demo.
• Du bör kunna se en ny policynyckel med namnet B2C_1A_SamlIdpCert.

 Skapa signeringsnyckeln

• På översiktssidan för din Azure AD B2C-klient, under policies, Välj Identity Experience Framework.
• Välja Policynycklar och välj sedan Lägg till.
• För Tillbehör, välj Generera.
• In Namn , ange TokenSigningKeyContainer. För Nyckeltyp, välj RSA.
• För Nyckelanvändning, välj Signatur. Välj nu Skapa.

 Skapa krypteringsnyckeln

• Följ de tre första stegen som används för att skapa signeringsnyckel.
• För Namn , ange TokenEncryptionKeyContainer. För Nyckeltyp, välj RSA.
• För Nyckelanvändning, välj Kryptering. Välj nu Skapa.

 Ladda upp policyerna

• Välj Identity Experience Framework menyalternativ i din B2C-klient i Azure-portalen.

• Välja Ladda upp anpassad policy.

• Ladda upp policyfilerna som laddats ner i stegen ovan enligt följande ordning:
  

1	TrustFrameworkBase.xml
2	TrustFrameworkExtensions.xml
3	SignUpOrSignin.xml
4	ProfilEdit.xml
5	PasswordReset.xml
6	SignUpOrSigninSAML.xml

• När du laddar upp filerna lägger Azure till prefixet B2C_1A_ till var och en.

Anmärkningar: För nästa steg, Använd IDP Metadata URL som:
https://tenant-name.b2clogin.com/tenant-name.onmicrosoft.com/B2C_1A_signup_signin_saml/Samlp/metadata.