问题标签 [aad-b2c]

我有一个使用 Azure Active Directory B2C 自定义策略通过电子邮件实施的注册邀请流程。它按预期工作。但是，我有一个场景需要处理。

如果用户 - UserA 已登录到应用程序并具有有效会话。同一用户通过电子邮件收到了一个注册链接。在同一浏览器的不同选项卡上打开电子邮件。单击注册邀请链接。被重定向到注册页面。作为 UserB 提供信息。成功报名。被重定向到客户端应用的重定向 URI。现在，由于 UserA 已经存在一个有效会话，因此注册链接最终以 UserB 身份验证到应用程序中。此外，预计用户不会单击“注销”按钮，并且预计多个用户将共享同一台机器，因此会询问。

尽管这听起来不太实用，但它对客户来说是有效的。我一直在寻找实现这一目标的方法。

我正在寻找的是：

1. 一种在用户单击“注册”按钮后清除会话信息的方法。由于它是自定义策略，因此 UI 元素并不完全或部分在客户端应用程序的代码范围 (IMO) 之下。如果我错了，请纠正我，如果可以控制点击事件并执行一段 javascript 代码来清除用户的浏览器会话。
2. 一种单独处理注册流程重定向的方法，这样登录页面只有执行 2 个功能的代码。清除用户会话（）；重定向登录（）；
3. 或者任何其他方式来处理这个？

基本上是一种在注册/注册后模拟 Sigout/Logout 的方法。

我真的很感激这方面的任何线索，并将证明非常有帮助。

我们已将密钥斗篷与 Azure ADB2C 集成为身份提供者。在从 b2c 令牌映射 keycloak 中的用户声明时，我看到“子”声明为空白。B2C 策略或 Keycloak 映射配置设置中是否有任何需要修改的内容。请分享您的建议。我非常感谢您花时间考虑这个问题。

我们已将 ADB2C 与 java Web 应用程序集成，一旦用户单击登录按钮，用户导航到登录页面，同时访问登录页面中的忘记密码链接，用户无法重定向到忘记密码页面，并且 b2c 发出此错误代码“AADB2C90118”。我发现这是 B2C 中的一个错误。如果此错误已在 ADB2C 中修复，请向我们提出建议。否则，请从 Java Web 应用程序的角度提出一种处理此忘记密码错误的方法。我非常感谢您花时间阅读本文并分享您的想法。谢谢！！

有没有办法访问自定义策略的元素以修改例如标签、控件的外观、颜色、字体或添加一行......？

我的自定义策略界面

我已将“KeyCloak”（身份代理）与 Azure ADB2C 集成以对用户进行身份验证。

首先将用户ADB2C Login用户流端点与Keycloak集成并测试，绝对没问题。此外，我们将 B2C“忘记密码”用户流端点与 Keycloak 集成，在 B2C 中成功忘记密码完成后，将响应重定向回 keycloak，我们看到来自 Keycloak 屏幕的错误响应为 - “响应中缺少状态参数身份提供者”</p>

在请求 url 中有 Scope、Client_id、State、Response_type、Redirect_URI、nonce。但在 B2C 响应 url 中包含“Client_ID”、response_type、scope 和 redirect_Uri。

到目前为止，无法找到解决此问题的方法。如果有任何方法可以从 ADB2C 或 Key-Cloak 处理此问题，请提出建议。

“ADB2C - 使用 OAuth 标准身份验证协议实现”</p>

Keycloak 错误页面代码：- “身份提供者响应中缺少状态参数”</p>

谢谢你。

我使用此文档覆盖了singInOrSignup自定义策略中忘记密码的链接，并且效果很好：

https://docs.microsoft.com/en-us/azure/active-directory-b2c/add-password-reset-policy?pivots=b2c-custom-policy

我怎样才能为现在注册链接做同样的事情，以重定向到我之前创建的另一个自定义策略？

在从“Keycloak”到“Azure ADB2C”进行基本 http 调用以检索令牌作为来自 AD B2C 的响应时。

当前的流程看起来像这样。对于与“Keycloak”集成作为身份代理的 Java Web 应用程序，并且从“Keycloak”中，我们已与“Azure AD B2C”集成作为用户身份验证的身份提供程序，并将令牌响应发送回 keycloak要求。

• 用例 1：我们在 keycloak 中集成了一个 Azure ADB2C 登录用户流端点，它将登录请求发送到 b2c 并检索令牌作为来自 Azure b2c 的响应。

• 用例 2：在此用例中有一个阻止程序，在从“Keycloak”向“Azure AD B2C”进行基本 http 标头调用时，我们在“keycloak”日志中看到错误代码为“Invalid_grant”、invalid_secret 和“来自 keycloak 的不同调用时的 Invalid_credentials'。在 Azure ADB2C 端进行验证后，我们没有找到来自“Keycloak”的上述请求的任何日志。

是否有任何解决方法或必须在 keycloak 中进行任何更改来处理对 Azure ADB2C 的基本 http 调用？

谢谢！！

我们想让我们的 API 对外部系统可用。

我们的 API 受“访问令牌”保护，使用 OAUTH2 和 Azure AD B2C 作为身份提供者。

不幸的是，B2C 不支持“客户端凭据流”，因此外部系统无法通过传递其客户端 ID 和密码从 B2C 获取令牌。

我们正在考虑使用 Azure API 管理为 API 提供前端，并为外部系统提供Subscription Keys. 然后，一旦我们subscription key在 API Management 中验证，我们想要获取一个Access Token来调用我们的后端。

这可能吗？似乎不是因为缺少客户端凭据流。但是，我看到 APIM 专家的视频声称这是可能的。我错过了什么？APIM有特殊待遇吗？

我想将名字和姓氏限制为仅限拉丁字符。所以我添加了以下内容

问题是当用户注册并输入非拉丁字符时，显示的消息是“请匹配请求的格式：您的名字”。我没有在我的政策中定义此消息。

XML 中是否还有其他属性可以定义我想要显示的消息（“名字必须是英文。”）

在 Azure AD B2C 开箱即用的流程中，您可以通过选中几个单选按钮来配置条件 MFA，如下所示：

我正在尝试在自定义策略中复制相同的内容，但我发现的所有文档和示例要么不完整，要么令人费解。谁能指出我正确的方向？我原以为 Azure AD B2C 会让我的生活更轻松，但我在这上面花了太多时间。在这一点上，我非常接近放弃使用它的想法......