我们刚刚在连接到 ADB2C 的 Web 客户端中从 react-aad-msal 切换到 msal-react 库。我们现在将授权代码流与 MSAL.js 2.0 一起使用(它曾经是隐式的),并将 B2C 应用程序类型从 Web 更改为 Spa。
作为连接到 ADB2C 的身份提供者,我们通过 Azure AD Connect 将本地 ADFS 同步到 Azure AD。据推测,该设置没有任何变化。
我们面临的问题是,现在公司 VPN 或内部网络上的用户突然被重定向到集成 Windows 身份验证弹出窗口,而不是像以前使用 MSAL.js 1.0 和隐式流的 ADFS 登录。如果他们只是在 VPN 上而不是在办公室的网络上,那么他们的 Windows 凭据在该弹出窗口中不起作用。如果他们在 VPN 之外的公共互联网上,那么他们将获得 ADFS 登录,并且一切正常。此外,我们注意到在使用 VPN 时,现在在浏览器 url 的 adfs 路径前面添加了“wia”。该问题仅存在于 Chrome 和 Edge 浏览器中。它在 Firefox 上以旧方式工作,并且路径中没有 wia。
我已经对其进行了一些研究,并且我知道在公司网络或 ADFS 中的 VPN 内部时,WIA 应该是默认设置?然后显然我们在 ADFS 中缺少一些设置,因为它不起作用。我们是否需要在我们的 ADFS 中启用 FBA 以及后备?并添加 Chrome 和 Edge 作为支持的代理?
此外,还不清楚为什么它之前没有尝试将 WIA 与 MSAL.js 1.0 库一起使用。
对于 Okta 身份提供程序和另一个不使用本地 ADFS 同步的 Azure AD 提供程序,一切正常。
请帮忙!