问题标签 [identity-experience-framework]

我们很高兴通过自定义 RESTful API 丰富我们的声明，但是是否可以在下拉列表中显示获取的声明值（例如，逗号分隔）并询问用于选择一个？

我有一个自定义策略，它向注册（使用这些文档HoldingId）的新用户添加自定义值，因为该值通过令牌（连同）传递给策略。verified_email

我希望不需要为登录创建自定义策略，因此使用 Azure Portal UI 针对b2c-extensions-app应用程序创建自定义属性（并使用相应的客户端和对象ID 将其与自定义策略），并使用门户已将此自定义属性添加到注册/登录策略声明中。

使用 Graph API，我已经能够成功确认自定义值正在针对新注册的用户保存（返回为），并且这些新用户随后可以使用内置的登录/注册策略extension_[AppId]_HoldingId毫无问题地登录.

但是，目录中已经存在的任何用户都无法再登录。不幸的是，因为这是一项内置策略，我不确定是否有办法深入了解日志 a-la App Insights以查看发生了什么。

我的怀疑是，由于这些现有用户没有针对他们的自定义属性，因此内置的注册/登录策略正试图获取此值并失败。

是否可以让内置策略忽略未设置此属性的用户的此属性，或者我是否需要创建自定义策略以使用默认值处理此场景？

对于上下文，现有HoldingId用户不需要（应用程序需要向后兼容）。这也是我第一次涉足 B2C，所以我仍在学习其中的许多概念。

我有 Azure AD 和 Azure AD B2C 目录。我已经按照本指南设置了自定义策略， 并且能够从 Azure AD B2C 联合到 Azure AD 以进行身份​​验证。我想通过用户在 Azure AD 中的角色来控制访问。但是，我不确定如何做到这一点？在流程结束时，我返回的声明只有基本用户信息，没有角色数据。我需要做什么才能让声明包含 Azure AD 中的用户角色？如果这是不可能的，那么推荐的实现这一目标的方法是什么？我在想另一种方法是使用 Microsoft Graph。这意味着我需要知道用户的对象 ID 和 Azure AD 租户的 ID。但是，在令牌中，我只取回基本用户信息，并且用户的对象 ID 与 Azure AD 中的实际 ID 不同。

感谢您对此的任何帮助。

根据Azure Active Directory B2C：收集日志，我可以收集自定义策略的日志，但如何有效地查看日志？我无法理解任何直接进入应用洞察的东西。

根据此说明：

社区开发了一个用户旅程查看器来帮助身份开发人员。它不受 Microsoft 支持，并且严格按原样提供。它从您的 Application Insights 实例中读取数据，并提供用户旅程事件的结构良好的视图。您获取源代码并将其部署在您自己的解决方案中。

我相信本说明中引用的应用程序是：WingTipUserJourneyPlayerWebApplication，对吗？（我认为这是本 readme.md的应用程序 b/c ）

作为wingtiptoys 项目的一部分，可以在此处找到适用于在Application Insights 中读取B2C 日志的用户旅程记录器的不同版本。详情见文章：

假设这是正确的应用程序，我该如何配置它以读取我的 App Insights 日志？

正如我从文档中了解到的那样，Azure AD B2C 会在第一次登录时为来自社交登录（如 GMail/Facebook）的每个用户创建一个新的本地帐户（请纠正我，如果我错了）。但是我想拦截这个并将用户链接到已经存在的（用户自己的）本地帐户，而不通过自定义策略创建新的本地帐户。

我正在尝试在 Azure AD B2C 中创建自定义策略。从现有文档中，我找不到构成策略的 XML 标记的清晰描述。在哪里可以找到自定义策略 XML 标记的文档？我期待创建自定义用户旅程。是否有创建自定义用户旅程的指南？

Azure AD B2C 能否将最终用户输入的“用户名/电子邮件和密码”传递给第三方受信任的应用程序进行凭据验证，并为用户获取应用程序成功验证凭据的声明？出现这种情况是因为，我的一些用户在 Azure AD B2C 中，而一些用户在自定义用户存储中维护，由于业务原因无法移动到 Azure AD B2C。但是我想为两个用户提供相同的登录体验。

我们使用自定义登录/SigUp 策略，将 Facebook、LinkedIn、Twitter、Google+ 配置为社交 IDP。

我们已经构建了一个自定义页面，我们在其中询问用户他们的电子邮件，然后使用domain_hint例如：domain_hint=facebook.com.

我想传递用户在第一步中输入的电子邮件地址，login_hint以便domain_hint用户在重定向到 IDP 页面 (Facebook.com) 时不必再次输入电子邮件。

我从 IDP 的 AD B2C 文档中获取了代码，并在 Facebook、Linkedin、Twitter 等的声明提供程序中添加如下，但它不起作用

有没有办法/选项来实现这一目标？

我们有 Azure AD B2C 设置以使用身份体验框架，并在登录/注册时进行 REST 调用以通过 Azure 函数获取额外的安全凭据声明。这工作正常。

当我们通过 Azure AD B2C 通过 Refresh_Token 请求访问/Id 令牌时，看起来我们得到了相同的令牌，并且它不会调用 REST API 来获取最新更新的令牌声明。是否有可能改变这个用户旅程呢？

是否有另一种解决方案来刷新令牌而无需再次登录以获取最新更新？

（我们可以在代码中解决这个问题，而不是使用令牌，但出于各种原因，我们想先探索一下）。

当我尝试上传以下声明时，它失败了：

出现以下错误：

无法上传政策。原因：验证失败：在租户“mytenant.onmicrosoft.com”的策略“B2C_1A_TRUSTFRAMEWORK_BUILDINGBLOCKS”中发现 1 个验证错误。

在租户“mytenant.onmicrosoft.com”的策略“B2C_1A_TRUSTFRAMEWORK_BUILDINGBLOCKS”的第 172 列第 10 行发现架构验证错误：命名空间中的元素“ClaimType”' http://schemas.microsoft.com/online/cpim/schemas/2013/ 06 '在命名空间' http://schemas.microsoft.com/online/cpim/schemas/2013/06 '中有无效的子元素'DefaultPartnerClaimTypes '。

预期的可能元素列表：命名空间“ http://schemas.microsoft.com/online/cpim/schemas/2013/06 ”中的“InputValidationReference, PredicateValidationReference ”。

如果我向上移动 一点，政策就会上传。 <DefaultPartnerClaimTypes>

这对我来说似乎不“正确”。孩子的顺序<ClaimType>应该不重要吧？

XSD 文件中是否指定了该顺序？（我听说我可以配置 VS Code 来针对 XSD 验证我的 XML，我需要弄清楚如何做到这一点......）