使用 Salesforce 作為 SAML 的服務提供者 使用 Azure B2C 作為身份提供者，如何識別未正確配置的內容？

Question

過去幾天，我按照本指南將 Azure B2C 設置為 SAML 身份驗證流程中的 IDP - https://docs.microsoft.com/en-us/azure/active-directory-b2c/connect-with- saml-service-providers

這對讓我熟悉自定義策略非常有幫助，並且我能夠將它與作為服務提供商的 Microsoft 示例應用程序一起使用，但現在我正在努力弄清楚如何調整與示例應用程序一起使用的內容以與任何我正在嘗試的真正的服務提供商。

具體來說，我想首先將 Salesforce 設置為我們的服務提供商，但遇到了難以解決的問題。

到目前為止，我已經在 Salesforce 中創建了一個單點登錄設置，並使用 Azure 自定義策略提供的元數據中的信息加載它，並更新了我們的 SAML 應用程序的清單，使 identifierUris 指向由提供的實體 ID Salesforce 中的單點登錄設置。 加載的數據應該嘗試使用與我使用示例應用程序登錄時使用的相同的自定義策略，並且我已將適當的身份驗證選項添加到 Salesforce 登錄頁面。 現在，當我嘗試通過與此設置相關的 Saleforce 登錄頁面上的 SSO 按鈕登錄時，我遇到了這個錯誤，即在我什至能夠輸入我的任何憑據或會見之前，我無法使用 SSO 登錄登錄屏幕：錯誤

鑒於錯誤的性質有些模糊，並且缺乏日志記錄或其他工具來排除故障，我有點不確定我可能仍然缺少什么才能使其正常工作，或者我什至可以在哪里找到這些信息。 我懷疑我可能仍然需要的一件事是將 B2C 中的 SAML 應用程序指向來自 Salesforce 的元數據 URL，但我一直無法追蹤在哪里可以找到 Salesforce 期望提供的元數據。 在我看來，問題可能出在 Azure 方面，因為我什至無法輸入我的憑據以讓 Salesforce 拒絕 SAML 響應，而且因為單點登錄設置是直接從自定義策略元數據 XML，但我不能肯定地說這兩種方式都是我不確定下一步要嘗試什么的部分原因。

我們還考慮將其設置為 OpenID Connect SSO，但希望盡可能讓 SAML 工作，因為我們還計划將我們的 B2C AD 與需要我們使用 SAML 的其他幾個應用程序連接起來。

好奇是否有其他人遇到過類似的問題並且能夠解決它，或者是否有任何方法可以解決我可能忽略的問題。

更新

使用推薦的 SAML 工具，我能夠發現我遇到的錯誤如下： 與 AuthRequest 中的 IssuerUri "--EntityID--" 對應的應用程序注冊沒有在 AuthRequest 中指定斷言消費者服務 URL "--EntityId--"它的元數據。

根據 SF 幫助 論壇上的論壇帖子，在 Salesforce 中創建的單點登錄設置的登錄 URL 應該是要使用的 URL。 但是，當我嘗試將此 URL 添加到 Azure 應用程序清單中的 replyUrlsWithType 屬性時，我在保存屬性具有無效值時出錯。

Answer 1

今天，我將 Salesforce as Service Provide 與 B2C 集成為 Idp。 我沒有嘗試創建應用程序注冊，而是下載了 Salesforce 元數據並在我的 B2C 策略中使用它，如下面的代碼。 基本上是相同的，但我沒有通過在 B2C 中注冊新應用程序來保存 Salesforce 元數據（登錄/注銷 URI），而是將其保存在一個 XML 文件中，並指出我的 B2C 策略使用該元數據。

<Metadata>
        <Item Key="PartnerEntity">{Settings:B2C_SAML_PARTNER_ENTITY_SFE}</Item>
</Metadata>