我试图找出在使用 v2 MSAL 终结点创建 Azure B2C 应用程序时应使用哪个管理员帐户。我观察到,当我使用以下方法时,过程和结果都不同:
- 默认 Office365 + AAD 管理员帐户
- 长期使用的 LiveID 帐户
- 在 B2C 目录本身内创建的管理员
这些帐户中的每一个都用于在 MSAL (converged?) portal 中创建应用程序。 .
Azure AD 帐户
我有一个 Office 365/AAD 管理员用户,其地址为 @[tenant].onmicrosoft.com。
创建应用程序时,我看到一条警告,指出该应用程序将在我的 AD 租户(可能是 Office 365 管理员帐户,而不是连接的 B2C)中创建
This application will be registered in the Azure Active Directory instance used to manage your *.onmicrosoft.com account
[屏幕截图]
我想让学校或工作用户对 B2C 实例进行身份验证。但是模拟器给了我一个错误。
由于错误是由于用户无权访问该目录而导致的,因此我决定尝试使用新的管理员帐户重新创建应用程序,该帐户专门在该 b2c 租户目录中创建:
我创建了一个新的 @[tenant].onmicrosoft.com b2c 管理员用户,并尝试重新创建新的 appID/ClientID。我的想法的基础是,当我从 Azure+Office365 帐户使用全局管理员时,引起了 B2C 租户的困惑。
当我检查 Azure 门户(而不是 MSAL 门户)中的应用程序时,出现此错误
这让我问:
- 创建 MSAL v2 应用程序时应使用哪个门户?
- 我应该以谁的身份登录(Office365 AAD 管理员、启用 Dirsync 的 AAD 管理员、B2C 管理员、LiveID)
- 我不应该以谁的身份登录?
我的目的是使用 MSAL 库对学校和工作用户进行身份验证。除了 Facebook 和 Google,具体取决于登录政策。
MSALv2 应用门户上的 LiveID
为了完成组合测试,这是我使用 LiveID 用户时获得的 MSALv2 门户。 (之前的屏幕截图来自 AAD 或 B2C 用户)。请注意,节标题不同,可能也意味着功能差异。我想确认前面屏幕截图中的融合应用程序 等于我的应用程序。
最佳答案
如Azure Active Directory B2C: Register your application所述,您应该使用以下方式注册 Azure AD B2C 应用程序:
- Azure 门户
- Azure AD B2C 租户的全局管理员
使用 Azure 门户创建的任何应用程序注册都必须使用 Azure 门户进行管理。
如果您使用 the Application Registration portal 修改应用程序注册或PowerShell,它变成 a "faulted" app .
虽然全局管理员可以是 B2C 租户的 guest ,但建议全局管理员是 B2C 租户的成员。
关于Azure B2C 错误 : Application faulted after creating new app in MSAL portal,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49141375/