问题标签 [identity-experience-framework]

使用 AAD B2C 身份体验框架，我正在尝试创建一个自定义策略，该策略允许登录到本地 AADB2C 帐户并包括“无法访问您的帐户？” 链接调用内置的自助服务功能。所以基本上我想要内置“B2C_1_SignIn_Local”策略的用户体验/功能，但作为我的自定义策略套件的一部分。我不希望这种用户旅程/体验允许用户选择不同的 IdP。

我已经能够创建一个调用本地登录的用户旅程，但 UI 不包含“无法访问您的帐户？” 关联。到目前为止，我的用户旅程如下所示：

以上是基于我在内置策略 B2C_1_SignIn_Local（下载的文件）中找到的内容以及我用于其他 IdP（如 AAD）的内容的组合。我还尝试从我的 MVC ASP.NET 应用程序中直接调用内置的 B2C_1_SignIn_Local，但出现令牌验证错误。

我的预期结果可能吗？

谢谢！

马丁

当用户尝试登录时，他们会收到“您的密码不正确”，但我知道用户名/密码是有效的。

我配置了用户旅程记录器，我收到以下信息：

引发了“Web.TPEngine.Providers.BadArgumentRetryNeededException”类型的异常。

这个错误是什么意思，我该如何解决？

我正在尝试使用 AAD B2C 页面 UI 自定义以及自定义策略，如下所述：https ://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-ui-customization -自定义。我可以让我的内容出现，但标准 B2C 内容似乎没有按预期合并。

我的 Extensions.xml 文件中有这个 userjourney：

我有这个 ContentDefinition，也在我的 Extensions.xml 文件中：

上面引用的我的 UI 自定义文件 (LocalSignUI.html) 非常简单：

www.test-cors.org 似乎认为我的内容文件正确设置了 CORS。当我尝试运行 userjourney（使用 Azure AADB2C 门户的路径）时，我得到一个页面，显示“它成功了！” （来自我的 html 内容文件），“登录”（不确定它的来源，但可能来自 ContentDefinition “language.intro” 键），仅此而已 - 页面的其余部分是空白的。如果我检查页面源，有很多 javascript 和一些标签来涵盖 no-cookie 和 no-javascript 场景，但是没有表单或输入标签。我查看了应用程序洞察中的日志信息，并看到了对我的内容文件的引用，但没有明显的错误。

有任何想法吗？

谢谢！

马丁

I'm using Azure AD B2C custom policies. Can the password reset verification code expire time be changed and where? Has the default expire time been documented somewhere because I can’t find it. It seems to be 5min.

当我尝试使用“test@mydomain.com”的用户名创建本地帐户时，我得到：

http://localhost:4343/#error=server_error&error_description=AADB2C90161:+A+self-asserted+send+response+has+failed+with+reason+ '内部+服务器+错误'。相关性+ID：+cb299c64-219b-4870-9b4e-7c85fbbd2ae3 时间戳：+2018-02-20+21:05:54Z &state=9ac8534f-ad75-46c1-94a8-514a71acc6bb

我已经连接了App Insights，我可以看到“内部服务器错误”，但是噪音太大，我无法确定问题所在。

1. 为什么我不能用这样的用户名注册？
2. 如何中断应用洞察日志以追踪我的问题？

注意：如果这很重要，我正在使用自定义策略。

我通过 JWT 将自定义属性传递给我的注册策略，但这些属性没有持久化/保存。

我已经验证我正在发送 JWT 中的值。

我已经在注册页面上暂时显示了这些值，我正在看到它们。

我已经验证了将自定义属性保存到 AD 的技术配置文件。

我还能检查什么？

当我尝试执行我的注册政策时，我收到：

为什么？

Scenario: I'm using Angular 5 for front-end and .NET core 2.0 for back-end, MSAL.js to authenticate against Azure AD B2C in Angular SPA, then use returned id_token as Bearer Token to send requests to WebAPI endpoints.

I have successfully setup multi-tenant Azure AD as a provider in Azure AD B2C (followed the answer here Multi-tenant Azure AD in Azure AD B2C), but in the returned id_token, there's no claim for email address. Note: If I configure single-tenant Azure AD, I get back a claim with type http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress for email address, but wasn't able to do so with multi-tenant AD.

I believe the limitation is with Azure AD v2.0 that's been mentioned here: https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-v2-limitations

Question: How do I retrieve the user's email address after log in.

I followed the guideline in this article https://monteledwards.com/2017/10/18/a-complete-integration-azure-ad-b2c-azure-ad-graph-api-logic-apps/ to add an extra logic app to resolve email from id_token, but my problem is I don't have objectId back either.

Claims I've got back after successful authentication are:

My technical profile for multi-tenant Azure AD -> Azure AD B2C is:

是否可以为 B2C 中 MFA 的每个步骤设置单独的 URI？现在作为一种变通方法，我们正在关闭 ajax Success 返回，以便为每个步骤提供独特的用户体验，但如果我们不必依赖它可能会更干净。

根据文档，我们应该能够扩展 phonefactor 技术配置文件，但没有任何具体的细节。

更新

• 假设我有一个包含选项的页面 zzz.com/A：“打电话给我”和“发送代码”。
• 假设我选择“发送代码”，然后我可以为包含“在下面输入您的验证码”输入的页面指定 zzz.com/B 吗？
• 或者，如果我选择“呼叫我”，我可以将其发送到 zzz.com/C 以在那里显示另一种用户体验吗？

我们在注册过程中使用 Azure AD B2C 自定义策略，并且在使用 AAD-UserWriteUsingLogonEmail 技术配置文件在 Azure AD B2C 中实际创建用户之前，我们有多个步骤（多个屏幕）。

假设我们有以下 3 个技术配置文件定义的 3 个步骤：

第一步：

第二步 ：

第三步：

当然，我们有一个用户旅程，依次使用这 3 个步骤，以发行令牌结束。

如果我们按原样使用用户旅程，则在结束时，用户确实已创建，但在 Azure 门户上的登录被阻止。

如果我们更改收集声明的顺序，并且我们现在在最后一步收集密码声明，那么用户已正确创建并且不会被阻止登录。所以看起来密码是一个特殊声明......

从用户体验的角度来看，我们希望用户在第 2 步输入他的密码。我们的配置中可能缺少什么？（技术资料或用户旅程）。

我的 AAD-UserWriteUsingLogonEmail 看起来像这样：