Azure ad b2c 如何在自定义策略中使用在门户上创建的自定义OpenID连接提供程序?
Azure ad b2c 如何在自定义策略中使用在门户上创建的自定义OpenID连接提供程序?,azure-ad-b2c,Azure Ad B2c,我已使用OpenIdConnect提供程序(是Azure广告)配置了内置策略: 它工作正常(我可以在第一次创建帐户时连接到我的帐户)。 现在,我已经创建了一个自定义策略,该策略还包含一个具有完全相同参数的OpenIdConnect提供程序(链接到相同的Azure AD)。 但是当我测试自定义策略时,它会创建一个新帐户,而忽略内置策略已经创建的帐户。但这是同一个Azure广告背后 我想要实现的是使用Azure门户上创建的提供程序制定自定义策略。 你认为这可能吗? 谢谢你的帮助:)好的,谢谢@Chr
我已使用OpenIdConnect提供程序(是Azure广告)配置了内置策略:
它工作正常(我可以在第一次创建帐户时连接到我的帐户)。
现在,我已经创建了一个自定义策略,该策略还包含一个具有完全相同参数的OpenIdConnect提供程序(链接到相同的Azure AD)。
但是当我测试自定义策略时,它会创建一个新帐户,而忽略内置策略已经创建的帐户。但这是同一个Azure广告背后
我想要实现的是使用Azure门户上创建的提供程序制定自定义策略。
你认为这可能吗?
谢谢你的帮助:)
好的,谢谢@Chris Padgett,我得到了答案
因此,首先,使用AD Graph API,我能够比较用户身份,并看到“issuer”属性不同:
因此,我进行了快速调查,发现这两个策略的元数据url不同:
//login.microsoftonline.com/979fb787-2d8f-4dbc-83cd-876dc7f9b550/。著名的/openid配置提供了以下信息:
和//login.microsoftonline.com/979fb787-2d8f-4dbc-83cd-876dc7f9b550/v2.0/。众所周知的/openid配置提供了以下信息:
发行人不一样!所以我所要做的就是更改一个策略的元数据url,它就可以工作了 嗨,西尔文。您必须确保自定义策略中映射的发卡机构ID和发卡机构用户ID与内置流创建的用户帐户的ID匹配。否则,自定义策略将找不到由内置流创建的用户帐户。嗨@Chris,谢谢你的回答,这很有意义。你能给我一些关于如何实现这一点的技术建议吗?我看到issuer用户ID是一个名为“issuerUserId”的声明(该声明很简单^^^),但我不确定issuer ID。我认为它可以是声明“iss”或“idp”,但“iss”对于这两个策略是相同的。所以这可能是“idp”的说法,但我如何才能改变它呢?谢谢据我所知,密钥必须是名为“CreateAlternativeSecurityId”的OutputClaimTransformation,它基于issuerUserId和identityProvider InputClaims。这是有道理的,但identityProvider随后被“输出”为“iss”,但正如我所说的,这一声明对两种策略都有相同的价值。。。我现在迷路了……嗨,西尔文。当它创建两个不同的帐户时,每个帐户的
useridenties