问题标签 [identity-experience-framework]

我尝试传递email声明，就像我将其他声明传递给注册政策一样，但它不起作用。我不得不将它添加为<InputClaim>我的技术资料，但我不明白为什么。

在下面的示例中，我传入emailand extension_MyCustomClaim。我不显示extension_MyCustomClaim，但该值被保留。

我的叶子政策

我的用户旅程

我的技术资料

如果我添加extension_MyCustomClaim为一个<OutputClaim>，它将显示在屏幕上，并带有填充的值。我不必将其添加为<InputClaim>.

我不理解这里的不一致。

更新

我错了...

如果我添加extension_MyCustomClaim为一个<OutputClaim>，它将显示在屏幕上，并带有填充的值。我不必将其添加为<InputClaim>.

不是真的。声明将显示在屏幕上，但不会填充该值。

如何使用自定义策略在 B2C 中启用电子邮件验证？

为了对其进行逆向工程，我尝试在内置策略中禁用它并下载该策略。我尝试将该元数据项添加到我自称的技术配置文件中，但没有奏效。

逆向工程师测试 | 内置策略

我自称的技术简介

我正在使用本地帐户的用户名，以防万一。

在 B2C Policy 中，我们可以使用属性“assertionsencrypted”对发送回 SP 的 Assertions 进行加密。

我们如何只加密断言的属性（SAML 核心 2.0 规范：第 6 节规定属性也可以在断言中加密）？

我有一个带有DateTimeDropdown索赔类型的注册表单，允许用户选择他们的出生日期。

这是声明的策略配置：

以及它在表单上的呈现方式：

该Year选择给出了一个从 1900 到 2050 的范围。

是否有任何自定义策略配置来更改、限制或重新排序此下拉列表中的值？

我们有一个使用自定义身份体验框架策略通过 Azure AD B2C 保护的 Web 应用程序，以允许用户使用社交身份（Microsoft、Google、Facebook）或来自另一个联合 Azure AD 实例的身份或使用“本地' 电子邮件/密码帐户。

所有社交帐户和联合广告都正常工作。使用电子邮件/密码注册和登录正常工作，但我们现在遇到错误。自从最后一次知道这是有效的以来，我们没有故意对我们的电子邮件/密码配置进行任何更改，因此我们不确定这是如何发生的。

问题是：使用新的电子邮件地址注册可以正常工作，并且在该过程完成后，用户正确登录，并且他们的帐户出现在目录中。但是，如果用户注销，则任何重新登录的尝试都会失败：

（显示的电子邮件地址不是实际的。多个用户使用新旧电子邮件/密码组合重复错误。）

深入研究门户，潜在的错误显示为：

70001 在名为 Y 的租户中未找到名为 X 的应用程序。如果租户管理员未安装该应用程序或租户中的任何用户未同意该应用程序，则可能会发生这种情况。您可能已将身份验证请求发送给错误的租户。

此错误有时似乎与未能向门户中的应用程序授予权限有关。我们已尝试删除和恢复所有权限，并重新授予权限。这并没有解决问题。

有谁知道可能导致此问题的原因，特别是为什么注册/登录可以正常工作，但返回登录却不能？

更新：

只是为了确认我们在 AD 目录中配置了 IEF 和代理 IEF 应用程序：

我们login-NonInteractive在 TrustFrameworkExtensions.xml 中配置了技术配置文件：

连接 Application Insights（按照这些说明https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-troubleshoot-custom），我们能够做到这一点更详细的错误：

AADSTS70001：在 weapageengine.onmicrosoft.com 目录中找不到标识符为“ProxyIdentityExperienceFrameworkAppID”的应用程序

'ProxyIdentityExperienceFrameworkAppID' 出现在我们的任何自定义策略中的唯一位置显示在上面的 XML 中，但根据此处的文档，这似乎是正确的：https ://github.com/Azure-Samples/active-directory-b2c-custom -policy-starterpack/blob/3b4898fec3bf0014b320beffa6eb52ad68eb6111/SocialAndLocalAccounts/TrustFrameworkExtensions.xml#L38 - 除非我们也打算更新那些“DefaultValue”属性？

解决方案： 根据下面的答案，有必要使用相关的应用程序 ID 更新元数据和默认值。值得注意的是，在 GitHub 示例https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack/blob/3b4898fec3bf0014b320beffa6eb52ad68eb6111/SocialAndLocalAccounts/TrustFrameworkExtensions.xml#L38中，样板值的大小写不同，领先对于我们在替换中缺少的一个：

我正在尝试从我们的策略生成访问令牌，但我收到此错误。

这是一个示例邮递员请求

但如果我不使用我们的自定义策略并直接访问 B2C 租户，它就可以正常工作

我们的自定义政策中是否缺少某些内容？

在本地帐户注册表单上，displayName属性不是必填字段，我们不想使其成为必填字段。

但是，当用户没有为此提供任何值时，它会存储unknown策略中设置的值。

我想在givenName保存配置文件时将属性值设置为默认值，而不是unknown.

我已经尝试如下，但没有帮助

如果我想在我的 self-asserted 中默认一个值，我TechnicalProfile应该在我的InputClaimsor中默认它OutputClaims吗？

我正在尝试在 Azure AD B2C 租户中创建自定义策略。但是“添加”和“上传策略”这两个按钮都被禁用了。到目前为止，自定义政策似乎尚未启动。是这样吗？我进行了相当多的搜索，但找不到任何说明是否已启动自定义策略的文档。我的要求是能够：

1) 更改电子邮件地址 2) 更改密码

是否可以创建自定义策略来重置已知电子邮件的密码？

我使用 Graph API 创建用户并将邀请电子邮件发送到指定的电子邮件地址。

我希望用户单击该电子邮件中的链接并为其帐户设置密码。

我可以使用此电子邮件声明创建签名令牌，并将其作为断言发送到我的自定义策略。因此，策略将电子邮件作为输入声明。我在跟踪中看到它。

但我无法绕过密码重置过程中的电子邮件验证步骤 - 当我删除它时，我收到 500 服务器错误而没有其他详细信息。

我也尝试将用户的 objectId 作为输入声明发送，但它也无济于事。

有没有办法跳过电子邮件验证？