B2C 使用替代安全 ID 来唯一标识来自社交帐户的用户。我们有一个问题,用户为用户输入凭据,但 B2C 以某种方式将用户身份验证为其他人。我怀疑 IDP 正在返回错误的索赔数据或替代安全 ID 相同。如何在 Active Directory 中查看用户的备用安全 ID?
我尝试了以下 MS Graph 查询,尝试了我能想到的所有属性(包括本文中列出的属性),但 graph 不返回这些属性的数据。
https://graph.microsoft.com/v1.0/users/<userId>?$select=id,alternativeSecurityId,alternativeSecurityIds,extension_<b2cExtensionAppId>_alternativeSecurityId,extension_<b2cExtensionAppId>_alternativeSecurityIds
提前致谢!
B2C 用户的 AlternativeSecurityId 可通过 MS Graph API 在 Identities 集合中找到。
B2C 策略中使用的 AlternativeSecurityId 声明映射到相应发行者的 Identities: issuerAssignedId 值。
例如,对于 issuerAssignedId: 123 (id from google token) from issuer: google.com
"identities": [
{
"signInType": "federated",
"issuer": "google.com",
"issuerAssignedId": "123"
}
],
您可以通过调用 MS Graph API 的 /users 端点返回身份集合。https://docs.microsoft.com/en-us/graph/api/user-list?view=graph-rest-1.0&tabs=http