Azure B2C 自定义策略 - 从电子邮件决定 claim 交换

Question

我想要使用以下流程使用 Azure B2C 自定义策略进行身份验证

1. 用户应该看到用户输入电子邮件 ID 的字段
2. 根据电子邮件 ID(域名)，我们决定用于对用户进行身份验证的声明交换。
3. 可用的声明提供商 - 本地帐户，使用 Azure B2B AD 租户登录。

对于第 2 点，我们可以使用 Parse Domain Claims Transformation 解析域。 .

对于第 3 点，我已经使用默认的“使用本地和社交签名”入门包设置了必要的声明提供程序并验证了其是否有效。

Answer 1

您可以创建这样的用户旅程。

<OrchestrationSteps>
  <OrchestrationStep Order="1" Type="ClaimsExchange">
    <ClaimsExchanges>
      <ClaimsExchange Id="SelfAsserted-HRD" TechnicalProfileReferenceId="SelfAsserted-HRD" />
    </ClaimsExchanges>
  </OrchestrationStep>
  <OrchestrationStep Order="2" Type="ClaimsExchange">
    <Preconditions>
      <Precondition Type="ClaimEquals" ExecuteActionsIf="false">
        <Value>domainName</Value>
        <Value>contoso.com</Value>
        <Action>SkipThisOrchestrationStep</Action>
      </Precondition>
    </Preconditions>
    <ClaimsExchanges>
      <ClaimsExchange Id="AAD-OIDC" TechnicalProfileReferenceId="AAD-OIDC" />
    </ClaimsExchanges>
  </OrchestrationStep>
  <OrchestrationStep Order="3" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
    <Preconditions>
      <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
        <Value>domainName</Value>
        <Value>contoso.com</Value>
        <Action>SkipThisOrchestrationStep</Action>
      </Precondition>
    </Preconditions>
    <ClaimsProviderSelections>
      <ClaimsProviderSelection ValidationClaimsExchangeId="SelfAsserted-LocalAccountSignin-Email" />
    </ClaimsProviderSelections>
    <ClaimsExchanges>
      <ClaimsExchange Id="SelfAsserted-LocalAccountSignin-Email" TechnicalProfileReferenceId="SelfAsserted-LocalAccountSignin-Email" />
    </ClaimsExchanges>
  </OrchestrationStep>
  ...
</OrchestrationSteps>

第一个编排步骤执行 SelfAsserted-HRD 技术配置文件，可以在其中输入电子邮件地址，然后调用 SetDomainName 声明转换来解析电子邮件域。

<ClaimsProvider>
  <DisplayName>Self-Asserted</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="SelfAsserted-HRD">
      <DisplayName>Self-Asserted HRD</DisplayName>
      <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.SelfAssertedAttributeProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
      <Metadata>
        <Item Key="ContentDefinitionReferenceId">api.selfasserted</Item>
      </Metadata>
      <IncludeInSso>false</IncludeInSso>
      <InputClaims>
        <InputClaim ClaimTypeReferenceId="email" />
      </InputClaims>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="email" Required="true" />
      </OutputClaims>
      <OutputClaimsTransformations>
        <OutputClaimsTransformation ReferenceId="SetDomainName" />
      </OutputClaimsTransformations>
      <UseTechnicalProfileForSessionManagement ReferenceId="SM-AAD" />
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

如果电子邮件域等于联合域，则第二个编排步骤将执行重定向外部身份提供商的 AAD-OIDC 技术配置文件。

如果电子邮件域不等于联合域，则第三个编排步骤将执行显示本地帐户注册或登录的 SelfAsserted-LocalAccountSignin-Email 技术配置文件页。