问题标签 [azure-ad-b2c-custom-policy]

这是 Hari Krishna 在另一个线程上建议的，为此讨论打开一个新的 SO 线程。如何以编程方式清除或更新 Azure AD B2C MFA 的电话号码？

我们正在使用 B2C 自定义策略，其中包含将用户的 MFA 配置文件写回到 B2C 配置文件的步骤。B2C 技术配置文件名称是AAD-UserWritePhoneNumberUsingObjectId。

当此值在用户->身份验证方法->电话下写回 B2C 时，它以 +12223334444 格式执行，国家代码和区号之间没有空格。B2C 接受此值，随后的 MFA 请求工作正常。

但是，当您使用https://graph.microsoft.com/beta/users/{userId}/authentication/phoneMethods下的 Graph API 方法管理 MFA 电话号码时，就会出现该错误。调用 GET 方法时，任何不是 +1 2223334444 格式的电话号码（这次注意国家代码和地区代码的空格）都会被忽略，结果是一个空数组。

此外，无法删除该值。调用 DELETE https://graph.microsoft.com/beta/users/{userId}/authentication/phoneMethods/3179e48a-750b-4051-897c-87b9720928f7会导致 404 响应：

有效的一件事是使用 PATCH 请求执行“幽灵更新”，然后执行随后的 DELETE 请求，这将导致一个空白电话号码，然后将再次提示用户在下一次输入他们的新电话号码B2C 登录尝试。见下文。

第 1 步 - 发出“幽灵更新”以将 MFA 电话号码设置为虚拟值。

发布https://graph.microsoft.com/beta/users/{userId}/authentication/phoneMethods

第 2 步 - 删除虚拟电话号码，现在允许使用，因为它的格式正确

这最终允许一个半合适的解决方法，因为它允许管理员清除旧电话号码，以便重新提示用户，但这绝对是一个错误，并阻止管理员查看现有电话号码以进行验证，结果在降低安全性。

我有一个用于注册和登录的自定义策略，在最后一步中，我要求用户输入电子邮件，并在其中发送验证码并验证代码（按照 Microsoft 提供的示例之一）。但是，我想将该人输入的电子邮件存储在“联系信息”中。

我尝试了多种使用“PersistedClaims”的方法，但它似乎不起作用。

加载策略时我没有收到任何错误，但是当我注册时，我仍然看不到 Azure AD B2C 中用户配置文件内的联系信息中的电子邮件。

我相信我使用了错误的声明，但我无法弄清楚“联系信息 - > 电子邮件”声明是什么。

拜托，有人可以告诉我哪个声明以及如何存储它吗？

谢谢

我的 b2c 中有自定义策略，带有自定义 UI（即删除了注册链接并添加了公司品牌），并且应用程序已部署在服务器上。

当我运行应用程序时，重定向到 b2c 登录屏幕，如果由于密码错误或在 b2c 中找不到帐户而出现任何错误，这些错误会因屏幕重新加载而消失。我相信它试图在回复 url 上重定向并重新加载相同的登录屏幕。

如何查看错误消息并防止重新加载登录页面以使错误消息不会消失？

我们正在使用 react-aad-msal 通过 AD B2C 使用 Azure AD 对用户进行身份验证。B2C 配置了自定义策略，但没有特定于注销。我们在身份验证参数中传递了权限、domain_hint 和 login_hint，这些参数会根据用户在重定向到 B2C 登录之前在应用程序电子邮件提示中输入的内容而动态变化。初始登录工作正常，但是在调用 authProvider.logout() 之后，如果不同的用户尝试登录并且他的外部 idp 没有改变，但 login_hint 仍然以某种方式保留前一个用户的令牌。我看到它会发布注销重定向 uri。本地存储为空，authenticationState 为 Unauthenticated，但突然间，前一个用户的令牌出现在本地存储中。将提示设置为“登录”没有帮助。有人有类似的问题吗？它从哪里获得令牌？奇怪的是，它在 FireFox 中可以正常工作，但在 Chrome 中却不行。此外，在更改用户后，它有时会随机进入无限循环，并显示登录已在浏览器控制台中进行的消息。

目标：在调用 Graph API 时防止使用客户端 ID 和机密。以下任何一种可能吗？

1. 在使用 Azure B2C 进行身份验证的应用程序中使用 Azure 托管标识（已获得 Microsoft Graph API 权限）。从而避免使用客户端 ID 和机密。
2. 如果1.不可能，则在使用 Azure B2C 的应用程序中使用托管标识（已授予 Microsoft Graph API 权限）进行身份验证以访问 Azure KeyVault 中的机密。

登录后如何显示新 UI（密码到期通知）页面。UI的内容是

带有文本“您的密码将在未来 14 天内过期”（14..13...12.. 1）和 2 个按钮跳过和继续的标题。继续应该重定向到密码重置和跳过重定向到仪表板页面。

https://docs.microsoft.com/en-us/azure/active-directory-b2c/custom-policy-ui-customization

在上面的链接中自定义默认的 Azure AD B2C 页面部分有预定义的页面，但我无法适应我的页面内容。

是否可以使用自定义策略创建我自己的自定义内容页面？如果是，请让我参考资源

您好，我正在寻找将错误消息本地化到以下消息的解决方案，但似乎它没有覆盖

1. 为以下内容定义添加本地化尝试 MergeBehavior="Prepend",MergeBehavior="Append" 和 MergeBehavior="ReplaceAll"

2.使用资源覆盖本地化 api.signuporsignin.en

谁能建议我以任何方式本地化 azure b2c 自定义策略（signupsignin）中的错误消息

我正在尝试将自定义属性添加到自定义策略中。但是，它会生成此错误“无法验证所提供的信息”。

我遵循了以下链接的文档，我已经添加了应用程序 id b2c-extensions-app 和对象。

https://docs.microsoft.com/pt-br/azure/active-directory-b2c/custom-policy-custom-attributes

https://docs.microsoft.com/pt-br/azure/active-directory-b2c/configure-user-input?pivots=b2c-custom-policy

错误日志消息“返回的错误是 400/Request_BadRequest：以下扩展属性不可用：extension_f41be ....._tipoUsuario。”

我的 TrustFrameworkExtensions 文件中的部分代码，它在 AD 中写入和检索信息：

我正在尝试使用https://github.com/azure-ad-b2c/samples/blob/master/policies/force-password-reset-first-logon来实现本地帐户初始登录时的密码重置。我已按照https://docs.microsoft.com/en-us/azure/active-directory-b2c/custom-policy-get-started中的所有步骤操作，但创建 Facebook 密钥除外，因为我只需要使用本地帐户。在测试策略时，当我使用我的电子邮件地址登录时，我能够成功登录到我的应用程序，而不是重新定向到密码重置页面，并且自定义属性不会被清除。

我正在使用 Graph API 来设置自定义属性“Extenstion_000000000000000000000000000000000_mustResetPassword”并创建用户并将 ForceChangePasswordNextSignIn 属性设置为 false。你能告诉我我在哪里做错了吗？

我希望用户首次登录并被重定向以重置密码并清除自定义属性。请帮忙！

我正在使用 Graph API 创建用户

我有一个与 Azure B2C 目录集成的应用程序。我们的问题是，登录页面重定向到 Azure B2C 门户（自己的自定义页面）以对用户进行身份验证或授权，然后恢复到原始网站。

我需要使用自己的网站登录设计打开弹出窗口，并且在后端，我可以调用 Azure B2C REST api 来验证用户。

如何在 Azure B2C 门户中创建用于登录的 REST API？

如果您有任何相同的信息，请告诉我。