问题标签 [azure-ad-b2b]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
azure - 同一应用程序中的 Azure AD B2B 和 B2C
我需要使用 AzureAD 创建一个 Web 应用程序,用户可以从组织/使用他们的个人帐户(FB、Google 等)登录。我们可以在同一个应用程序中同时使用 B2B 和 B2C 吗?
redirect - 无需重定向 Microsoft 页面即可登录 Azure AD
我已经使用 Azure AD B2B 创建了一个 .net 应用程序,它工作正常,但是每当我尝试登录时,它都会重定向到 Microsoft 页面,它会要求提供凭据,然后它会返回到我的应用程序。
重定向会造成用户混淆。我想在客户不离开我们的应用程序的情况下创建完整的用户体验。不过,我们希望利用安全技术。
有什么方法可以使用 Azure AD 服务来帮助我们登录 AzureAD 而无需重定向到 Microsoft 页面?
请指教!
azure - 获取所有 B2B 目录用户是成员
由于我们在 GA 中有 Azure AD 的 B2B 功能,我很好奇如何在多租户应用程序中使用 B2B。更具体地说,如何获取用户所属的目录列表?例如,Azure 门户通过调用https://portal.azure.com/AzureHubs/api/tenants/ListMicrosoft 的 My Apps 调用https://account.activedirectory.windowsazure.com/responsive/multidirectoryinfo来获取信息 - 是否有一个公共端点?
用例是跨多租户应用程序启用 B2B 合作,该应用程序在每个用户的目录中提供,因此他们有自己的实例,但无法集中提取有关用户目录的信息。
一个简单的解决方法是查询为用户的 UPN 配置了应用程序的所有租户,如果找到,将其显示在列表中,但想象一下如果有数百个租户......我相信这对于应用程序开发人员来说非常重要希望在多租户应用程序中利用 B2B 功能。
更新:似乎有一种方法可以通过访问Azure 服务管理 API来做到这一点,但是这个 API 和方法没有记录,我想如果发生任何问题,微软会说它不是受支持的方案。
更新 2:我写了一篇关于整个设置的文章,包括一个如何在场景中使用它的示例项目,可以在这里找到https://hajekj.net/2017/07/24/creating-a-多租户应用程序支持 b2b 用户/
asp.net - HttpContext.Current.Request.Url 给出 127.0.0.1
我在 Visual Studio 2017 中创建了一个普通的 ASP.NET MVC AAD Authenticated 应用程序。它包括以下内容:
一会儿HttpContext.Current.Request.Url返回https://localhost:44345/浏览器中列出的内容,并在 Visual Studio for IIS Express 中进行配置。
然而,过了一会儿,它开始返回http://127.0.0.1/!这会导致 AzureAD 身份验证返回生产 URL,而不是 localhost 开发 URL。
我可以对开发 URL 进行硬编码,但它应该是动态的,这样它就可以在我部署它的任何地方工作。
为什么 IIS Express 返回http://127.0.0.1/而不是https://localhost:44345/在我的开发框中?以及如何让它返回正确的值。
`
azure - Azure AD B2C integrating with corporate (Azure?) AD accounts
We would like to use Azure AD B2C for our web applications to allow users to sign in either with a 'local' account/password or use their social accounts (Facebook, etc). https://docs.microsoft.com/azure/active-directory-b2c/active-directory-b2c-overview
However, in this application, we are likely to be targeting organisations, so we would also like to integrate with a company's existing Azure AD corporate accounts. That way the user doesn't have to create a new account and can use their existing corporate account.
It turns out that there is a (new) feature within Azure AD B2C which allows you to explicitly link to an external Azure AD account by using a custom policy as described here: https://docs.microsoft.com/azure/active-directory-b2c/active-directory-b2c-setup-aad-custom
Unfortunately, this only works if we know in advance which external companies we need to link with and add in specific configuration. It also leaks information about who is using the app, because the company names become listed as options on the sign-in page.
I've also looked at the Azure AD B2B features, but I don't think that this fits properly either.
What we'd really like is for Azure AD B2C to offer a generic sign in to a (corporate) Microsoft account', which detects whether that email address is already handled within any Azure AD systems; if it is, it then delegates authentication to that system, but if not, it will fall back to an Azure AD B2C local account.
This generic login already works for access to standard Microsoft apps, such as their portals. Does anyone know if this is possible within Azure AD B2C, or have any potential timescale for when it may become possible? Are there any alternate systems which may be able to offer similar functionality?
azure - AzureAD SAML SSO 认证时间
我想知道 AzureAD 在用户身份验证后将给出的默认身份验证年龄是多少。- 它是否应该与服务提供商会话年龄匹配 - 如果它不匹配我们观察到的任何冲突 - 保持身份验证年龄的最佳实践是什么。
oauth-2.0 - AAD 组声称某些用户的 JWT 令牌中缺失
我在我们的 AAD 上遇到了一些奇怪的行为。在用户成功登录后,我们的 API 调用中的某些用户会收到未经授权的请求。事实证明,JWT 中的声明丢失了。一些用户正在获得“组”声明(他所属的所有 groupId 的数组),而有些用户正在获得“hasgroups”声明(如果用户有组,则为布尔值,没有 ID)。由于我们的 API 应用正在检查此“组”声明以获得授权,因此没有此“组”声明的用户会收到 403。</p>
尽管如此,在应用程序注册的清单中,我将“groupMembershipClaims”从“null”设置为“All”或“SecurityGroup”,这应该可以解决问题。还要将“oauth2AllowImplicitFlow”设置为 true,因为我们正在使用使用 OAuth2 的 Angular 应用程序。接下来我比较了几乎所有的用户设置,除了一些额外的组之外,用户是相同的。受影响的用户没有很多组,有些甚至最多有 5 个组。
我是否忽略了某些事情或导致索赔差异的原因?我该如何解决这个问题,以便所有用户都获得“组”声明?
azure - 为内部和外部用户分离 Azure AD
是否有推荐的 Azure AD 策略来管理内部和我们的合作伙伴用户?
我们知道我们可以将外部用户添加到我们的 Azure AD,但我们希望将内部用户和合作伙伴用户明确分开。
我在 Azure 中看到您可以添加另一个 Azure AD,所以想知道我们是否可以为外部用户添加一个新的。但我不确定这会对我们当前的公司 Azure AD 产生什么影响,以及它是否会访问和/或影响我们在 Azure AD 中拥有的功能(例如 O365/Sharepoint/等)。
还是建议仅使用 Azure AD 中的组来分隔内部和外部用户?
azure - Azure AD B2B 身份验证 - 是否可以将域列入白名单?
我想为我们正在开发的应用程序实现域白名单,该应用程序将对在 apps.dev.microsoft.com 创建的应用程序使用 Azure B2B 身份验证。我希望能够让用户输入他们的电子邮件地址,在他们的域上进行检查。如果该域在白名单中,则进入他们各自的登录页面并让他们尝试进行身份验证,否则返回 401 错误(如果我的用户不属于我的白名单,我希望他们停止尝试进行身份验证)。我会很感激指导。
azure - Azure AD - B2B 邀请不是实际电子邮件的电子邮件
我们有一个广告目录,我们邀请我们的用户 B2B 方式。通常,他们有自己的电子邮件,somename@thecompany.com但并非每次都这样,这是一个实际的电子邮件地址,即他们无法在此处接收邮件。因此,我们使用他们收到邀请的私人电子邮件,但是当他们点击Get started按钮时,他们被要求创建一个新密码,随后有验证码发送给他们,但发送到此somename@thecompany.com帐户而不是私人帐户。
有没有办法将验证码重定向到私人电子邮件或禁用它等?任何想法如何解决这个问题?
谢谢!