我想要使用以下流程使用 Azure B2C 自定义策略进行身份验证
- 用户应该看到用户输入电子邮件 ID 的字段
- 根据电子邮件 ID(域名),我们决定用于对用户进行身份验证的声明交换。
- 可用的声明提供商 - 本地帐户,使用 Azure B2B AD 租户登录。
对于第 2 点,我们可以使用 Parse Domain Claims Transformation 解析域。 .
对于第 3 点,我已经使用默认的“使用本地和社交签名”入门包设置了必要的声明提供程序并验证了其是否有效。
最佳答案
您可以创建这样的用户旅程。
<OrchestrationSteps>
<OrchestrationStep Order="1" Type="ClaimsExchange">
<ClaimsExchanges>
<ClaimsExchange Id="SelfAsserted-HRD" TechnicalProfileReferenceId="SelfAsserted-HRD" />
</ClaimsExchanges>
</OrchestrationStep>
<OrchestrationStep Order="2" Type="ClaimsExchange">
<Preconditions>
<Precondition Type="ClaimEquals" ExecuteActionsIf="false">
<Value>domainName</Value>
<Value>contoso.com</Value>
<Action>SkipThisOrchestrationStep</Action>
</Precondition>
</Preconditions>
<ClaimsExchanges>
<ClaimsExchange Id="AAD-OIDC" TechnicalProfileReferenceId="AAD-OIDC" />
</ClaimsExchanges>
</OrchestrationStep>
<OrchestrationStep Order="3" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
<Preconditions>
<Precondition Type="ClaimEquals" ExecuteActionsIf="true">
<Value>domainName</Value>
<Value>contoso.com</Value>
<Action>SkipThisOrchestrationStep</Action>
</Precondition>
</Preconditions>
<ClaimsProviderSelections>
<ClaimsProviderSelection ValidationClaimsExchangeId="SelfAsserted-LocalAccountSignin-Email" />
</ClaimsProviderSelections>
<ClaimsExchanges>
<ClaimsExchange Id="SelfAsserted-LocalAccountSignin-Email" TechnicalProfileReferenceId="SelfAsserted-LocalAccountSignin-Email" />
</ClaimsExchanges>
</OrchestrationStep>
...
</OrchestrationSteps>
第一个编排步骤执行 SelfAsserted-HRD 技术配置文件,可以在其中输入电子邮件地址,然后调用 SetDomainName 声明转换来解析电子邮件域。
<ClaimsProvider>
<DisplayName>Self-Asserted</DisplayName>
<TechnicalProfiles>
<TechnicalProfile Id="SelfAsserted-HRD">
<DisplayName>Self-Asserted HRD</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.SelfAssertedAttributeProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
<Metadata>
<Item Key="ContentDefinitionReferenceId">api.selfasserted</Item>
</Metadata>
<IncludeInSso>false</IncludeInSso>
<InputClaims>
<InputClaim ClaimTypeReferenceId="email" />
</InputClaims>
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="email" Required="true" />
</OutputClaims>
<OutputClaimsTransformations>
<OutputClaimsTransformation ReferenceId="SetDomainName" />
</OutputClaimsTransformations>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-AAD" />
</TechnicalProfile>
</TechnicalProfiles>
</ClaimsProvider>
如果电子邮件域等于联合域,则第二个编排步骤将执行重定向外部身份提供商的 AAD-OIDC 技术配置文件。
如果电子邮件域不等于联合域,则第三个编排步骤将执行显示本地帐户注册或登录的 SelfAsserted-LocalAccountSignin-Email 技术配置文件页。
关于Azure B2C 自定义策略 - 从电子邮件决定 claim 交换,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63372404/