为Azure AD B2C自定义策略调用New-CpimCertificate时发出问题

Question

我试图将Azure AD B2C用作SAML身份提供程序。

我知道，网络上的多个位置表明，B2C目前还不支持SAML作为身份提供者（例如对此问题的回答：Can I integrate a SAML application with Azure AD B2C?）。

但是，当我读取"Azure AD B2C Custom Policies" docs上的内置策略和自定义策略之间的比较时，我发现SAML目前已经作为身份提供者受到支持。

另外，我发现这个GitHub上穿行：https://github.com/Azure-Samples/active-directory-b2c-advanced-policies/blob/master/Walkthroughs/RP-SAML.md

此之后穿行，我有一个问题，在首节"Create the SAML Token Issuer"的第5步“上传证证书”，同时执行New-CpimCertificate。

我可以成功导入模块ExploreAdmin.dll。但是我提供的凭证，同时呼吁New-CpimCertificate，我得到这个错误在控制台上：

New-CpimCertificate : Unauthorized. 
Access to this Api requires feature: 'Advanced' for the tenant: '<myazureb2ctenant>.onmicrosoft.com'. 

任何帮助，想法，意见......都非常欢迎！

Answer 1

Azure AD B2C仍然不正式支持（即使在预览中）connecting with apps via SAML（又名SAML身份提供商）。

它只支持connecting to other identity providers via SAML（又名SAML中继方）。

在Azure AD B2C自定义策略预览的正式启动之前，GitHub通过您所遇到的一个老步行。它讨论了未包含在预览范围内的功能，例如B2C作为SAML IdP。它还引用了工具（这些PowerShell脚本）和不再适用的步骤。

在"Azure AD B2C Custom Policies" doc的身份提供商部分中提及SAML是指支持B2C作为中继方，该中继方连接到SAML身份提供商，而不是其他方式（其中B2C是SAML身份提供商本身）。

所有这些，你可以让你的场景工作，明确的理解它不被支持。

您可以使用GitHub的文件你已经提到，换出涉及ExploreAdmin和New-CpimCertificate为these instructions，允许你上传通过门户证书的步骤：

1. 转到您的Azure的AD B2C租户。点击设置>身份体验框架>策略键。
2. 点击+添加，然后：
   1. 点击选项>上传。
   2. 输入一个名称（例如YourAppNameSamlCert）。前缀B2C_1A_会自动添加到您的密钥名称中。
   3. 要选择您的证书，请选择上传文件控制。
   4. 输入证书的密码。
3. Click Create。
4. 验证您是否创建了密钥（例如，B2C_1A_YourAppNameSamlCert）。