【发布时间】:2020-09-24 03:33:04
【问题描述】:
我使用 SAML 流创建了 azure b2c 自定义策略,但找不到文档我应该在 SP 端使用什么注销 url。我在 saml 策略元数据 xml 中看到的内容:
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://tenant.b2clogin.com/tenant.onmicrosoft.com/B2C_1A_signup_signin_saml/samlp/sso/logout"/>
它不适用于我的 SP (zendesk),并在注销重定向后显示错误:AADB2C99046:注销请求不包含会话索引。我调查了 saml 注销请求,它不包含会话索引元素。据我了解,SAML 标准文档 SessionIndex 是可选的。
有没有办法修复 SAML 的注销功能?
这是来自 Microsoft 支持的答案:
在与我们的技术顾问和其他人员分析您的请求后 资源,我们得到了确认,对于您的特定设置 让您的 B2C 充当 SAML 令牌提供者,即 SessionIndex 连同 NameID 是必须的,并且需要由您的服务提供 提供者。
我知道很难跟踪通常需要设置的要求 在 B2C 中通过将信息传播到除 Azure AD B2C 之外的任何地方 以下是支持的两种场景:
- 让 Azure AD B2C 作为 IdP 并通过基于 SAML 的服务提供商实现 SSO
- 让 Azure AD B2C 作为服务提供商 (SP) 并与 SalesForce 和 ADFS 等基于 SAML 的身份提供商进行交互。
第一个场景(1),你有一个,它需要你的自定义 设置 SAML 令牌颁发者的策略,以及 SAMLSSOSessionProvider 名为 SM-Saml-Issuer 的 TechnicalProfile。 如果没有您的 SessionIndex 和 来自您的 SP 的 NameID 属性。
这是实现成功的 SAML 注销调用的唯一方法 您的服务提供商。
如果您有任何问题,请告诉我,然后我可以查看此内容并 如有必要,请转发给我们的专家。
最好的问候,
_____________________________________________________ 维克多·J·埃尔南德斯 |支持工程师 | Azure 支持
【问题讨论】:
-
您是否尝试从 SAML SSO 会话管理技术提供商处删除会话索引声明?
-
我试过了,如果我设置为 false(默认为 true),它只是不会在第一个 saml 请求时发送会话索引
-
嗨@sergeysahon 你还在寻求帮助吗
-
@Raghavendra-MSFTIdentity 我收到了来自微软支持的回复,即不支持没有会话索引的 SAML 注销请求
-
嗨@sergeysahon 感谢您告诉我们。请您在下面提供答案,以便对社区中的其他人有所帮助
标签: saml azure-ad-b2c saml-2.0 zendesk