问题标签 [azure-ad-b2b]

我们将 Azure AD B2B 用于一些定制应用程序（客户门户等），其中有数百名来自其他目录的来宾用户，主要是来自外包 IT 的小型企业的非技术人员。一般来说，它工作得很好，但我们经常收到客户对类似事情感到困惑的询问，并希望提供一个常见问题解答。我指的是以下问题：

• 不确定要使用哪些登录详细信息，因为他们不熟悉 SSO，并且没有意识到他们可以只使用自己的 O365 / Microsoft 帐户，许多人已经拥有这些帐户
• 当我们的应用程序要求他们允许访问他们的帐户时感到惊讶/怀疑
• 已将 Outlook 等设置为记住他们的密码，多年来不必使用它并且不知道它是什么，而且我们无法重置它，因为该帐户在他们自己的目录中

没有就上述具体问题寻求帮助，我的问题是关于在AAD 登录过程中提供对某种常见问题解答页面的轻松访问的最佳方式。问题是，一旦他们开始了这个过程（这是他们努力的部分），他们只会在成功的身份验证后被重定向回应用程序，而且微软对 UI 没有太多控制权。

一个完美的解决方案是在所有 AAD 登录页面上都有一个常见问题解答或帮助链接，但我看不到任何方法可以做到这一点，即使在我们自己公司品牌的登录页面上也是如此。唯一相关的选项是“登录页面文本”，这还不够。

帮助非技术用户解决此类问题的最佳实践方法是什么？例如，我们可以告诉 AAD 在登录失败后重定向到帮助页面吗？

在 Azure AD B2B 中，我为“用户”和“应用程序”创建了一个带有 appRole 的应用程序注册（资源）。

如果我将 servicePrincipal（客户端）分配给这个 appRole -> accessToken 包含 appRole。

servicePrincipal(client) <-> appRoleAssignment <-> servicePrincipal(resource)

这按预期工作

如果我将 serviceprincipal（客户端）分配给顶级安全组并将安全组分配给 appRole -> accessToken 不包含 appRole。

servicePrincipal(client) <-> security group <-> appRoleAssignment <-> servicePrincipal(resource)

这种间接适用于用户，我是否遗漏了为什么这不适用于 servicePrincipals？

我能够为我的 .netcore MVC 应用程序+reactjs（计费应用程序）进行身份验证和授权，此应用程序将托管在 IIS 上，并在计划托管 .netcore Webapi（图表应用程序）的同一台服务器上。

通过使用计费应用程序，我们将调用图表 WebApis。现在WebApi 应该是 Authenticate/Authorize user based on token sent by front-end app (基于token的webapi执行Auth/Autho，没有另一个登录弹出窗口)

1. 能够使用邮递员生成令牌-通过请求以下链接查看 img

   https://login.microsoftonline.com/ {{tenandId}}/oauth2/token

将带有标头的此令牌发送到 Web-API，Web-API 将具有与计费应用相同的 Azure AD 应用配置（客户端 ID、范围等）。Api 应该验证令牌并发送图表数据。

2. 应该在 reactjs 中尝试 adal/msal 并使用 Authorize 属性装饰 WebApis 以便处理身份验证和授权？

有很多链接，但很少有代码不起作用，很少有进程不再适用于 Azure，很少有大型代码，而不是我正在寻找的。

基本上，我将在 .netcore 中托管一个执行 Auth 部分的应用程序，现在 WebApi 也应该使用相同的用户 cookie/令牌进行 Auth，因为我不想再提供另一个登录弹出窗口，请参阅很多 MS 示例代码但没有运气

哪种方法是正确的 1 或 2，并分享示例代码/链接任何帮助表示赞赏，

在 azure AD b2b 上，当我们邀请用户使用应用程序时，我们可以将受邀用户添加到组中。从我在这里看到的：https ://docs.microsoft.com/pl-pl/azure/active-directory/b2b/customize-invitation-api邀请 API 没有这种可能性。我们可以做些什么，从我们的应用程序发送邀请并在此过程中将受邀用户添加到具体组？

Azure 的 Graph API 支持使用此 API获取用户的详细信息。它支持 id 或 userPrincipalName(UPN)。对于 B2B 用户，要求是使用 UPN 获取详细信息。Azure 为 B2B 用户创建的 UPN 格式如下“B2BUserEmail#EXT#directoryid/Tenant”

使用上述 UPN 格式查询时

https://graph.microsoft.com/v1.0/users/b2buseremail.com#EXT#@<directory/tenant>

REST API 失败并给出以下错误

{ "error": { "code": "Request_ResourceNotFound", "message": "Resource 'b2buseremail.com' does not exist or one of its queried reference-property objects are not present.", "innerError": { "request-id": "d167220f-e0ef-4528-b7a5-de71fd524f07", "date": "2019-12-09T23:52:18" } } }

我想按照 Microsoft 的说明使用 Microsoft Graph v1.0 而不是 Azure Graph Api。不幸的是，我看不到允许用户重置密码的可能性。

此外，我想发现使用图形 API 进行自助服务密码重置的可能性。我的目的是创建自定义页面来为用户重置密码。应用程序身份验证将使用 ROPC 方法构建。

我不太了解 AD 中的注销过程。假设用户从连接到 AD 的其他应用程序（不是我的）注销，我的 SP 会在它发生时被调用吗？我缺少的另一件事是，当用户从他们的目录中删除/停用时会发生什么？我怎么知道何时清除他们的会话？在 AD 的文档中找不到有关此问题的任何内容。

我在我的 VueJS 应用程序中使用 vue-adal 库来连接到 Azure AD。

AD Token 在登录后 1 小时内有效。

当我的令牌过期时，我无法从客户端更新它。

有没有办法使用VueJS从客户端更新令牌或

任何其他替代方法可以用于这种情况？

谢谢， 戈瑟姆

场景：来自 b.onmicrosoft.com 的两个租户 a.onmicrosoft.com 和 b.onmicrosoft.com 用户想要访问 a.onmicrosoft.com 中的应用程序

选项 1：要发送邀请电子邮件，用户需要兑换邀请然后访问它。选项 2：使用 Graph API 或 powershell 绕过邀请电子邮件，但用户仍需要在访问应用程序之前查看权限并接受条款/条件。

审查权限

目标：最终用户应该能够访问应用程序，而无需通过邀请电子邮件或审查权限。这是否可以在托管应用程序的资源租户的租户级别进行处理。

按照https://docs.microsoft.com/en-us/azure/aks/aad-integration上的说明创建 aks 集群并与 azure ad 集成后，我能够在 azure ad 用户和用户组上成功建立 RBAC .

不幸的是，此过程不适用于在 azure ad 中创建的服务主体