使用 Azure ADB2C 的 Okta SSO

如何解决使用 Azure ADB2C 的 Okta SSO

对于使用 Azure ADB2C 作为 IDP 的应用程序，我们需要使用 Okta 作为 SSO。因此，基本流程是，用户登录 Okta，单击配置的应用程序磁贴。在后台，Okta 使用 Azure ADB2C 验证用户的身份（此用户详细信息已存在于 ADB2C 中），并使用 ADB2C 提供的令牌将用户返回给应用程序。简而言之，用户只能登录 Okta，并且他们应该能够进入应用程序。我一直在查看各种博客和讨论，但没有任何内容指向这个所需的方向。任何人都可以通过提供所需的文档或必要的链接来指导我吗？

到目前为止，我已经尝试过类似的https://docs.microsoft.com/en-us/azure/active-directory-b2c/identity-provider-salesforce-saml 和https://help.okta.com/en/prod/Content/Topics/integrations/open-id-connect.htm

但以上似乎并不能满足我们的需求。这可能吗？如果不是，使用 Azure ADB2C IDP 将 Okta 实施为 SSO 提供商的最佳方法是什么？

解决方法

接着添加一个通用的 OIDC IDP： https://docs.microsoft.com/en-us/azure/active-directory-b2c/identity-provider-generic-openid-connect

对于自定义策略，您需要填写声明提供程序，例如

<ClaimsProvider>
  <Domain>Okta</Domain>
  <DisplayName>Login using Okta</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="Okta-OpenIdConnect">
      <DisplayName>OktaEmployee</DisplayName>
      <Description>Login with your Contoso account</Description>
      <Protocol Name="OpenIdConnect"/>
      <Metadata>
        <Item Key="METADATA">https://okta.com.....well-known/openid-configuration</Item>
        <Item Key="client_id">00000000-0000-0000-0000-000000000000</Item>
        <Item Key="response_types">code</Item>
        <Item Key="scope">openid profile</Item>
        <Item Key="response_mode">form_post</Item>
        <Item Key="HttpBinding">POST</Item>
        <Item Key="UsePolicyInRedirectUri">false</Item>
      </Metadata>
      <CryptographicKeys>
        <Key Id="client_secret" StorageReferenceId="B2C_1A_ContosoAppSecret"/>
      </CryptographicKeys>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="oid"/>
        <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid"/>
        <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
        <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
        <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
        <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
        <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
        <OutputClaim ClaimTypeReferenceId="UserTitle" PartnerClaimType="UserTitle" />
      </OutputClaims>
      <OutputClaimsTransformations>
        <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
        <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
        <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
        <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
      </OutputClaimsTransformations>
      <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin"/>
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

https://docs.microsoft.com/en-us/azure/active-directory-b2c/identity-provider-azure-ad-single-tenant?pivots=b2c-custom-policy#configure-azure-ad-as-an-identity-provider-1

参考 OIDC 技术简介
https://docs.microsoft.com/en-us/azure/active-directory-b2c/openid-connect-technical-profile

要从 Azure AD B2C 用户处获取声明，请先阅读声明：
https://docs.microsoft.com/en-us/azure/active-directory-b2c/configure-user-input?pivots=b2c-custom-policy#read-and-write-a-claim

然后将任何索赔发布到旅程中获得的 B2C 代币中
https://docs.microsoft.com/en-us/azure/active-directory-b2c/configure-user-input?pivots=b2c-custom-policy#include-a-claim-in-the-token

您可以在此处找到文档：https://developer.okta.com/docs/guides/add-an-external-idp/azure/configure-idp-in-okta/

谢谢。