azure - 使用 B2C 租户域时，使用 Azure AD B2C 保护的 Azure 函数返回未经授权

Question

鉴于通过 AAD B2C 以https://login.microsoftonline.com/tfp/MyTenantName.onmicrosoft.com/signinsingunp作为颁发者 url 保护的 azure 函数，我可以通过 msal.js 应用程序成功验证 b2c 用户，就像我尝试将颁发者 url 更新为我的 b2ctenant 域登录 url（因为这个建议将 URL 重定向到 b2clogin.com）并更新 msal.js 应用程序中的权限以匹配域（myapp.b2clogin.com/tfp/MyTenantName.onmicrosoft.com/signinsingunp） ，我收到 401 相同的天蓝色功能，任何建议将不胜感激。

以下是详细的设置细节，

• Azure AD B2C 租户
  • 域名：MyTenantName.onmicrosoft.com
    • 应用：
      • 应用程序A-Api
        • 网络应用程序/API : 是
        • 允许隐式流：是
        • 回复网址：https ://myazurefunsapi.azurewebsites.net/.auth/login/aad/callback
        • 应用程序 ID：https ://MyTenantName.onmicrosoft.com/ApplicationA-Api
        • 发布范围：读取，user_impersonation
        • API 访问：访问用户配置文件
      • 应用B-Portal
        • 网络应用程序/API : 是
        • 允许隐式流：是
        • 回复网址：https ://myportal.domain.com
        • 应用程序 ID：https ://MyTenantName.onmicrosoft.com/ApplicationB-Portal
        • 发布范围：user_impersonation
        • API访问：ApplicationA-Api（读取，代表登录用户访问此应用），访问用户配置文件（offline_access，openid）
    • 用户流
      • 注册登录
        • 应用程序：ApplicationA-Api
        • 回复网址：https ://myazurefunsapi.azurewebsites.net/.auth/login/aad/callback
        • 选择域：
          • MyTenantName.b2clogin.com
          • login.microsoftonline.com
• Azure 函数
  • 认证/授权
    • 应用服务身份验证：开启
    • 未通过身份验证时要采取的措施：使用 Azure AD 登录
    • 身份验证提供者：
      • 天蓝色 AAD：
      • 管理模式：高级
      • 客户 ID：B2C-ApplicationA-ApplicationID
      • 发行者网址：login.microsoftonline.com/......./opendid......
• 静态网站
  • msal.js (v0.2.4)完成的 b2c 集成
  • clientID : B2C-ApplicationB-ApplicationID
  • 授权：https ://login.microsoftonline.com/tfp/b2ctenantname.onmicrosoft.com/signinsingunp
  • b2cscopes：ApplicationA-Api-read

提前致谢！

Answer 1

我终于找到了解决这个问题的方法......

花了很多时间，但归结为GitHub 上提出的这个问题

本质上，我在设置我UserAgentApplication使用其他人提到的新 b2clogin.com 域时更改了权限。虽然这并没有立即奏效，但我收到了您在评论中提到的相同错误，所以我不得不设置validateAuthority: false我的配置。

我在下面提供了一个关于我如何设置的示例。Azure 中的我的 ClientID 与 MSAL.js 中的相同

var msalConfig = {
      auth: {
        clientId: "xxxx",
        authority: "https://xxxx.b2clogin.com/tfp/xxxx.onmicrosoft.com/B2C_xxxx", 
        webApi: 'https://xxxx.azurewebsites.net',
        b2cScopes: this.appConfig.b2cScopes,
        validateAuthority: false
      },
      cache: {
        cacheLocation: "localStorage",
        storeAuthStateInCookie: true
      }
    };
this.clientApplication = new Msal.UserAgentApplication(msalConfig);

希望这可以帮助！

Answer 2

您需要做的就是更改颁发者 URL（您写为颁发者 URL，但必须是 .well-known 配置 URL）以匹配 b2clogin.com 域。

从上面我看到你在 Azure 函数中的 OpenID 配置 URL 是

login.microsoftonline.com/......./opendid......

但它应该与您的 b2clogin 域的静态网站的 .well-known 配置相匹配。它应该像

https://tenantname.b2clogin.com/tfp/tenantname.onmicrosoft.com/B2C_1_Policy/v2.0/.well-known/openid-configuration