问题标签 [azure-ad-b2b]

我已经在一个目录中有一个 Azure B2C，所以我的问题是我可以在同一目录中创建另一个 B2C，还是需要为另一个 B2C 创建一个新目录。

当我从界面邀请用户时，我想将 URL 设置为它使用的任何值，但是，该参数InviteRedirectUrl不提供默认值并且它是必需的。

我尝试通过向自己发送邀请来测试它，看起来好像我被重定向到 https://account.activedirectory.windowsazure.com/ ...

这是可以预料的吗？有更好的选择吗？

在我们的 AD 租户中，我正在测试来宾用户对应用注册 + 服务主体的所有权。我想允许外部守护程序服务调用我的 .NET Core REST API。为了安全地做到这一点，我需要一个双方都信任的身份提供者，并且需要一个能够限制管理凭证存储的管理开销的身份提供者。

我没有部署 IdentityServer 或在我的 API 中硬编码基本身份验证密码之类的愚蠢操作，而是考虑使用我们的 Azure AD 租户，并将外部客户端注册为我们租户中的应用程序。然后，他们可以轻松地针对 AD 验证该守护程序应用程序并调用我的 API，而我无需管理所述凭据存储。此外，客户端获得密码刷新等，他们可以管理自己的凭据。耶！

根据此页面，我的理解是，访客可以成为应用程序注册和服务主体的所有者。在 AzureAD 应用程序和 AzureAD ServicePrincipal 对象上成功完成。之后，来宾用户应该能够管理该应用注册的某些方面。具体来说，我希望来宾用户能够管理该应用注册的凭据。文档页面声明允许客人：

来宾用户权限

• 读取已注册和企业应用程序的属性
• 管理自有应用程序的应用程序属性、分配和凭据
• 删除拥有的应用程序
• 恢复拥有的应用程序

但是，即使在注销并重新登录以刷新我的令牌后，Azure 门户仍然阻止我的测试来宾用户管理我让他拥有的应用程序。（错误实际上有一个超链接到显示所有者的页面，你瞧，来宾帐户显示为所有者）

问题是我是否在某处遗漏了允许这种情况发生的关键配置条目，或者文档是否错误，是否根本不允许客人管理服务主体对象中包含的凭据？

我已经阅读了如何设置我的应用程序以支持多个租户，每个租户都有自己的 Azure AD。但我也想支持没有 Azure AD 的客户端。我考虑过使用 Azure AD B2B（邀请他们加入我的 Azure AD）。但是我如何知道哪个租户用户属于？令牌将我的 Azure AD 作为iss. 我可以将自定义字段添加到令牌吗？或者也许我应该根据租户将它们分配到不同的组？最好的方法是什么？

当我尝试访问

我收到以下错误：

我曾多次尝试创建新的 b2c 租户并尝试多次注册该应用程序，但我总是收到此错误消息。

我在配置时遵循本指南：https ://about-azure.com/using-azure-ad-b2c-with-angular-8/

我发现了一篇关于相同问题的 stackoverflow 帖子，答案是使用门​​户而不是应用注册门户创建 b2c 应用程序。配置时我只使用了门户。Azure AD B2C 错误：请求中指定的客户端 ID 未在租户中注册

我已使用此文档将 Azure AD 配置为身份提供程序：https ://docs.microsoft.com/en-us/azure/active-directory-b2c/identity-provider-azure-ad-single-tenant

与指南相比，我无法发现任何错误，并且有点卡住了。也许这里有人可以把我推向正确的方向。这是我第一次尝试配置 Azure B2C

我为我的逻辑应用程序创建了一个 ARM 模板，其中包含 azure 函数引用。

当我在旧订阅中部署逻辑应用程序时，我能够使用 power shell 成功部署 ARM 模板，

当我需要在不同的订阅中部署应用程序时，问题就开始了。

当我在不同的订阅上部署我的逻辑应用程序时，这些订阅指向旧订阅中仍然存在的天蓝色函数，我收到了这个错误。

谁能建议我如何处理这个问题？我怀疑新订阅需要访问旧订阅才能访问其中的 azure 功能。在这种情况下可以做什么？

我们正在实现 GitHub 示例中提供的 Azure B2B 应用程序

https://github.com/Azure/active-directory-dotnet-graphapi-b2bportal-web ,

它按预期工作。从邮件中兑换后，用户被重定向到 b2b 应用程序（个人资料页面），但我们希望重定向到另一个具有 Microsoft 身份的 Web 应用程序（Azure 广告应用程序）。

如上述解决方案中所述，我尝试更改 b2b 应用程序（管理应用程序和 B2b 预授权应用程序）的重定向 URL。

任何人都可以建议，如何实现相同的目标。

我在 Azure 网站中有一个后端 API，我喜欢使用 Azure AD 保护它。

据我了解，我将首先进行应用注册，使用信息注册作为登录的一部分，以将令牌返回给客户端。

然后我可以将该令牌发送到 API 并在后端 API 中验证令牌以进行验证。

但是，该令牌不可以访问订阅中的所有资源吗？如何将应用注册限制为仅允许访问该特定 API？订阅中还没有其他 API？

我还希望有一组允许访问 API 的用户。如果我只允许每个人使用应用程序注册登录，我 AD 中的每个人都会收到一个令牌吗？

我可以以某种方式使用企业应用程序来限制对 API 的访问并且只允许一组用户吗？

还是有另一种方法可以做到这一点？

我有一个应用程序公开了两个 SCIM 2.0 方案来同步用户：

"id": "urn:ietf:params:scim:schemas:core:2.0:User" ,

"id": "urn:ietf:params:scim:schemas:extension:bizagi:2.0:UserProperties"

我正在尝试将用户与 Azure AD 同步，默认架构“urn:ietf:params:scim:schemas:core:2.0:User”没问题，但使用扩展架构“urn:ietf:params:scim:schemas:extension :bizagi:2.0:UserProperties"属性没有到达我的应用程序。

我还尝试扩展模式“urn:ietf:params:scim:schemas:extension:enterprise:2.0:User”以同步我的扩展属性，但它也不起作用。

我的扩展模式的定义是按照这个RFC的指示进行的，我在端点 /scim/v2/Schemas 中公开了它。定义如下所示：

在 Azure AD 中，通过高级属性映射选项，我将扩展属性添加到属性列表中，如下图所示：

编辑属性列表

然后我做了扩展属性的映射，但它不同步。

属性映射

在我的应用程序中，用户可以创建自定义用户属性，并且无法使用 SCIM 提供的默认属性。

有谁知道如何从 Azure AD 在我的应用程序中同步这些扩展属性？

或者

如果我做错了什么？

我正在尝试在我的自定义“SignUpOrSignin.xml”策略上启用 Javascript，以便我可以对“重置密码”和“注册”按钮执行自定义操作。

我在 SignUpOrSignin.xml 上执行了以下步骤：

在 TrustFrameworkBase.xml 上：

不幸的是，当我尝试在 AAD B2C 实例中上传 SignUpOrSignin.xml 策略时，我收到以下验证错误：

我错过了什么？任何帮助都感激不尽！