使用时如何重置用户的密码？基于此，我不能使用，因为它分配了一个临时密码，下次登录时必须更改该密码 我是不是被迫要用这个？还有其他选项吗？从链接的堆栈溢出帖子复制答案 “注册或登录策略”或“自定义策略”都不支持Azure Active Directory forceChangePasswordNextLogin标志。（forceChangePasswordNextLogin仅适用于“注册策略”）这里有一个跟踪此的功能请求：如果我使用自定义策略，必须有一种方法重置密码您是否尝试使用密码重置策略（自定

我在跟踪调查。我如何向用户隐藏我的自我声明注册技术档案上的声明（LocalAccountSignupWithLogonNameWithID如下所示） 我已尝试从我的ClaimType定义中删除userinputype节点，但在用户旅程播放器中出现以下错误： 在租户“mytenant.onmicrosoft.com”的策略“B2C_1A_signup_signin_extensions”中id为“LocalAccountSignUpWithLogonNameWithIDs”的技术配置文件中指定的

我正在使用Azure广告图以编程方式包装用户 我的目标是生成一个临时密码，然后当用户尝试使用临时密码登录时，它会立即强制他们在继续之前重置密码 我能够成功创建用户。当我通过图形检索所有用户时，我会在那里看到我的用户。然而，当我尝试使用电子邮件/临时密码登录时，B2C会说电子邮件/密码无效 我错过了什么 我的JSON如下所示： { "accountEnabled": true, "signInNames": [ { "type": "emailAddress",

从某个地方继续下去已经出了问题。邮箱没有填充，我遗漏了一些东西。想法是用电子邮件OTP验证登录，然后让他们更改/添加MFA的手机号码 用户旅程 技术概况 使用电子邮件地址重置密码 IP地址 api.localaccountpasswordreset 假的 AAD UserReadUsingEmailAddress 阅读 真的 找不到提供的用户ID的帐户。 假的 其余的“”与之前的帖子和声明等相同 本地帐户电子邮件地址验证 api.localaccount.emailverifica

我正在构建一个API来支持公司其他应用程序团队的用户资源调配。我对自定义策略有相当的了解，并且已经查看了WingTipGames中的邀请流程，但是由于示例应用程序提供了大量的功能，有时很难遵循。我希望能够澄清我可以忽略哪些特性，以及支持我的用例需要哪些特性 用例： 我的API的CreateUser方法使用ADGraph在B2C中创建用户，然后应生成一个邀请链接，其中包括一个带有用户电子邮件地址的签名JWT，最后通过电子邮件将链接发送给收件人。新用户将单击该链接，该链接将直接将他们重定向到邀请策略

我被要求将一个新的web应用程序与我们的B2C实现集成，要求支持PKCE的赠款流 B2C/IEF是否支持这一点？关于所需步骤有什么指示吗 我满怀希望，因为我在AD文档中找到了引用，其中引用了对/authorize端点的请求中的code\u challenge和code\u challenge\u method参数 谢谢 标记听起来您正试图创建一个基于web的应用程序，根据新的OAuth指南，该应用程序只能在PKCE中使用身份验证代码。有关新的OAuth规则和Microsoft的身份验证过程，请参

我有多个索赔提供者，它们在单独的自定义策略XML文件中定义。随着时间的推移，我们添加了新的索赔提供者，并希望尽量减少要编辑的XML文件的数量。理想情况下，只有一个文件 是否有一种方法可以在另一个派生策略文件中指定所有这些提供程序，而无需显式编辑该文件（例如，通过集合声明引用它们） <OrchestrationStep Order="9" Type="ClaimsProviderSelection" ContentDefinitionReference

我希望在B2C中设计一个MFA策略，该策略具有更长的刷新令牌窗口（比如说1天），以避免频繁的MFA挑战，但由于操作的性质，该应用程序的访问部分需要更频繁的MFA挑战 根据，我似乎可以通过创建两个具有不同刷新令牌超时的B2C自定义策略并将会话行为设置为策略来实现这一点 策略-此设置允许您专门为用户流维护用户会话，而不依赖于使用它的应用程序。例如，如果用户已经登录并完成了多因素身份验证（MFA）步骤，则只要与用户流绑定的会话没有过期，用户就可以访问多个应用程序的更高安全性部分 我的问题： 这是实现目

我们有一个要求，管理员用户应该能够登录到一个应用程序，并通过OTP验证客户的电话号码。 我们打算使用配置文件编辑策略，这样当管理员登录并单击“编辑”时，他可以将电话号码更新为客户的，并对其进行验证。同样，当新客户的号码需要验证时，管理员会更新他的电话号码以验证新号码。这同样适用于电子邮件验证。客户无法访问该应用程序，因此将取决于管理员。 这种方法正确吗？在B2C中，一个MFA号码一天可以更新多少次有什么限制吗？似乎是一种奇怪的个人资料编辑的重新调整，但会起作用。在特定时间段内，单个IP可以发送多

在开发过程中，团队倾向于针对本地数据库和本地IIS Express web服务器进行开发 我们试图在Azure AD B2C应用程序配置中将的地址配置为返回URI，但这是不允许的（从技术上讲，它应该可以工作，尽管我可以理解为什么不允许）。所以现在，当有人登录时，它会将他们返回到测试服务器URL 我们希望返回到本地开发服务器实例。人们知道有什么方法可以实现这一点吗？您可以使用localhost，但请确保使用https： https://localhost:<port> https:/

我们定制了Azure AD B2C租户的联合注册/登录策略，以提供我们自己的登录页面。上周我们测试时，它在所有主要浏览器中都能正常工作，但今天它在Chrome和Firefox上的一些用户中停止了工作 当我们的一些用户浏览到我们的主页并被重定向到登录页面时，我们遇到了404错误（我们的B2C租户和自定义登录URL被编辑，但所有其他查询参数不变）： https://login.microsoftonline.com/redacted.onmicrosoft.com/B2C_1_sign_up_in/

我们有一个MVC Web应用程序，它有自己的本地SQL数据库。我们希望通过Azure AD B2C将应用程序的用户管理迁移到“单点登录”。 目前，我们有3种类型的用户可以通过浏览器访问我们的web应用程序（admin、customer1和customer2）。根据每种类型的用户，我们显示为该用户类型定制的主页 我们希望从Azure获取用户信息（包括在从Azure接收的ID令牌中），并 然后在我们的终端，根据该用户的用户类型，我们向该用户显示相关信息 我的问题: 如何将这3种类型的用户移动到Azu

我需要一些有关此示例的帮助： 我也需要这样做，但对于登录策略，我需要使用sql数据库验证电子邮件，并更改数据库中的状态列，和/或在电子邮件不存在时阻止访问 你有这样的例子吗 谢谢 注意：请原谅我的英语步骤将非常相似，只是您需要修改不同的UserTravely和RelyingParty 更新 更新SignUpOrSignin.xml您所指的示例对于仅检索用户的其他声明更有用，而不用于验证输入。由于您正在验证电子邮件地址，因此此示例更为相关： 这是我的建议： 在RESTAPI后面托管数据库，以便

编辑：在我打开Azure支持票证后，在我反复尝试创建应用程序后，问题自行解决。支持者说他们什么也没做 我们需要访问Graph API，因此我们正在尝试从Azure AD B2C注册的应用程序切换到通过本地B2C管理员帐户在apps.dev.microsoft.com中注册的应用程序 该应用程序在B2C应用程序注册中显示时没有问题，但它总是立即进入故障状态。我们无法使用新的客户端ID登录，我们无法在Azure门户中管理应用程序。我们所能做的就是删除apps.dev.microsoft.com上的内

我正在构建一个Angular SPA应用程序，并计划通过一个公共GitHub repo开源。该应用程序将利用Azure AD B2C进行身份验证。如果我共享B2C数据点（客户Id、租户、范围、策略名称），我将面临哪些风险？在代码中包含这些配置选项是一种可接受的安全实践，还是应该将这些值移动到另一个存储机制并从源代码中移出 就我个人而言，最大的风险似乎是其他人可能克隆应用程序并在本地（即他们自己的机器）针对我的B2C实例运行它。不确定这是否真的有什么大不了的-也许这是一个好处，因为这是一个开源应用

使用自定义IEF策略时，我遇到此错误： AADB2C90154:多因素验证请求未能从服务获取会话id。相关ID:[…] 这到底是什么意思？缺少什么会话以及需要在哪里建立会话？您可能正在使用旧版本的PhoneFactor InputOrVerify技术配置文件。以下为最新版本，包含在B2C策略入门包中 <TechnicalProfile Id="PhoneFactor-InputOrVerify"> <DisplayName>PhoneFactor</Di

字符串自定义属性在Active Directory B2C上可以容纳的最大大小（字符数）是多少 字符串的最大长度为256个字符 有关详细信息，请参阅。字符串的最大长度为256个字符 有关详细信息，请参阅

我有一个现有的Azure AD B2C租户，其中主刀片服务器有一个策略部分，如下所示。 但是，当我创建一个新租户时，我在左边的刀片中看不到Polcies部分 现有租户 新租户 这是Azure AD B2C的新用户界面。 基本策略被重新命名为用户流。 如果您在新租户中看到刀片，您将看到用户流选项 还要单击租户概览刀片中的欢迎链接以了解更改。 很快所有的新老房客都会得到新的体验 如果您想使用旧门户一段时间，请转到并从租户选择刀片选择您的租户

我无法使用.net core控制台应用程序的用户名和密码登录到我的Azure B2C Active Directory。我正在使用nuget的MSAL库2.6。 我在GitHub上找到了这个例子 我将代码缩减到最低限度，如下所示： public static async Task TestLogin() { try { var scopes = new[] { "community.member" }; var username = "{user@

我们正在Xamarin.Forms上使用MSAL2.6.2。如何在MSAL用于登录页面的嵌入式web视图上禁用IOS 3D touch。例如，按住“忘记密码”链接时，该链接会弹出浏览器，导航到更改密码url。这在security pen测试中被报告为一个问题，因为可能会导航离开应用程序并打开浏览器以显示假登录页面，其中url可能以login.microsoftonline.com.attacker.com开头，并诱骗用户提交凭据 您应该能够设置手势识别器并设置shouldReceiveTouch

我试图将instagram添加为身份提供商，但我遇到了一个问题，Azure AD B2C无法在JSON响应中识别instagram用户的id。调用instagram的self endpoint后，我得到的响应如下： { "data": { "id": "4835453534", "username": "myUsername", "profile_picture": "https://profilepic.jpg", "full_name": "", "b

我在我的Xamarin应用程序中使用Azure ADB2C为我的应用程序提供身份验证。ADB2C返回应用程序的“声明”之一是“用户是新的”布尔值，可用于指导用户在应用程序内的旅程 这可能非常有用。但是，该标志的[真实]状态持续的时间比欢迎的时间长。我认为当用户[创建帐户、登录、做一些事情]时，他们是“新的”，之后他们就不再是“新的”。经过一段未指定的时间后，该标志似乎变为[false] 我找不到有关“新”状态持续多长时间或如何推动更改的任何文档。当进行身份验证时，用户是新的标志将首次为真。如果第

继Microsoft之后，JavaScript应用程序无法访问受Azure AD B2C保护的API。应用程序可以登录/验证，但单击调用Web API按钮时，页面上会输出以下消息： 返回的Web APi: 身份验证失败：IDX10803:无法从以下位置获取配置：“” 这个怎么修理？允许JavaScript SPA调用受保护的web API需要做哪些更改？这个URL看起来有点奇怪。 应该是这样的： https://b2c-tenant-name.b2clogin.com/b2c-tenant-na

在我的自定义策略中，我正试图使用以下示例（TrustFrameworkExtensions.xml中的第135行）中所述的strongAuthenticationEmailAddress属性从目录检索用户，但这似乎没有按预期工作 阅读 假的 在检查AppInsights中的跟踪后，我发现了以下错误 “异常”：{“种类”：“已处理”，“HResult”：“80131500”，“消息”：“在租户“XXX”中使用标识符声明类型“strongAuthenticationEmailAddress”检

我正在研究AdB2C定制政策。我在B2C_1A_TrustFrameworkBase.xml文件中添加了自定义策略所需的一些字段，我不断收到此错误 请让我知道我缺少什么以及什么是“issuerUserId”尝试在TrustFrameworkBase.xml中的ClaimsSchema中添加ClaimType <BuildingBlocks> <ClaimsSchema> ... <ClaimType Id="issuerUserId">

我正试图更好地理解Azure AD B2C中的自定义策略/身份体验框架。在中有很多特定场景的操作方法，我已经在这个网站上找到了关于特定问题的很好的答案，但我仍在努力了解整个情况 是否有人知道在更高层次上解释流程/逻辑流的资源，以帮助我了解用户旅程、索赔提供者和其他组件实际上是如何交互的 谢谢 Martin的文档可在中找到。这是为定制策略预览而起草的（在编写时称为“Azure AD B2C Premium”服务）。其中一些已经过时，但它确实描述了高级概念，并详细介绍了自定义策略模式。谢谢@Chri

目前Azure AD B2C并非在所有地区都可用。因此，如果我在可用的区域创建Azure AD B2C，我是否可以稍后将用户迁移到新的Azure AD B2C中，当Azure AD B2C在该区域可用时，将在我的区域中创建新的Azure AD B2C p、 微软目前还没有关于他们是否会在B2C中提供本地导出功能以允许地区间迁移的信息。但是，您可以根据使用GraphAPI在B2C租户之间导出用户。对于本地帐户，此方法的一个问题是无法将密码迁移出B2C租户，因此您有两个选项： 密码重置-强制每个用户

因此，我一直在将旧的应用程序服务和Xamarin移动应用程序从MSAL的旧版本迁移到最新版本，并将我的应用程序从“login.microsoft.com”重新定向到新的（er）“b2clogin.com”发行者URI。我一直在遵循迁移到新的颁发者URI的方法，同时仍然与当前在该领域中的应用程序保持向后兼容 但是，我正在将此服务作为Azure应用程序服务运行，在我的服务的“身份验证/授权”部分，我使用正确的B2C应用程序“客户端ID”配置了我的Active Directory，并且还有另一个“颁发

我在我的应用程序中使用了Azure auth登录（AD B2C）。成功登录后，我将获得accesstoken，使用此令牌，我将访问api 在我的应用程序中，我必须打开需要azure身份验证的网页。因此，如果不登录，如何从移动应用程序访问azure认证网页。您已经登录，为什么还需要登录？你只需要使用令牌来访问API。这里我说的是网页。在网页中如何绕过身份验证

我们有一个问题，即单个用户注册到我们的应用程序，但有权查看单个数据集。这些都设置为本地帐户 目前，每个用户都与一组数据相关联 我们现在需要能够将不同的数据集链接到同一个用户 在登录后或登录期间，用户将看到链接到其帐户的选项，并且在整个会话过程中都会记住这一点 我们还需要能够通过API向帐户添加新权限 如果可能，理想情况下不使用自定义策略，通过Azure B2C实现这一目标的最佳方法是什么。如果您希望在身份验证过程（登录）中插入一个页面，读取用户访问能力，然后允许用户选择这些选项之一，然后在令牌中

希望有人能对下面的事情有所启发 我得到了一个Angular和.Net核心Web API应用程序，它使用Azure B2C对用户进行身份验证。 用户帐户由用户自己通过登录/注册自定义策略创建，或者管理员可以使用Graph API通过应用程序创建帐户 由于这些要求，应用程序使用用户名（而不是电子邮件地址）登录到应用程序。到目前为止，除了以下场景外，我已设法使所有内容正常工作： 通过Graph API创建帐户时，该帐户的所有者无法重置帐户的密码。错误是“无法找到提供的用户ID的帐户” 对于通过自定义注

我使用B2C自定义策略 我使用的是Web.TPEngine.Providers.SelfAssertedAttributeProvider文件如下： 自定义策略的登录依赖方工作正常，但用户在成功登录后不会收到用户/密码质询。我猜技术概要文件使用浏览器cookie，如“x-ms-cpim-cache | o4wex_p_gejeeak6w_0”来存储域b2clogin.com的成功登录，至少一次浏览器会话 元数据“setting.enablemememberme”是默认值，设置为false 我需

我正试图提出一个Azure广告B2C策略，根据步骤1中提供的电子邮件地址查找用户 如何使用提供的自我声明电子邮件地址查询AAD，然后将用户重定向到他们注册的社交登录提供商（如果有） 我有编排步骤的草稿： <OrchestrationStep Order="3" Type="ClaimsExchange"> <ClaimsExchanges> <ClaimsExchange Id="AAD-Us

向ie发出post请求时 https://.b2clogin.com/.onmicrosoft.com/B2C_1A_ROPC_Auth/oauth2/v2.0/token https://.b2clogin.com/.onmicrosoft.com/B2C_1A_ROPC_Auth/oauth2/v2.0/token nca=1做什么？当AAD B2C使用登录非交互式技术配置文件进行本地帐户凭据检查时，它实际上会对Azure AD令牌端点进行ROPC调用。Nca=1强制Azure AD通过si

这是我的应用程序的配置： 这是登录和注册策略 现在，这就是我在配置中运行以下代码时所产生的错误： 错误如下所示： Could not acquire token: Error Domain=MSALErrorDomain Code=-42105 "(null)" UserInfo={MSALErrorDescriptionKey=Token response is missing the access token} 请检查 您必须添加适当的范围： 让kScopes:[字符串]=[“”]

我可以使用loginPopup很好地登录并获得一个有效的令牌。但是，如果刷新页面并尝试使用acquireTokenSilent检索相同的令牌，则会出现以下错误： This application does not have sufficient permissions against this web resource to perform the operation 这个环节不应该持续下去吗？或者我需要做些什么来实现这一点 我要求的范围目前是： https://MY_TENANT.onmi

用于电子邮件验证的ADB2C默认功能验证发送到相应电子邮件的验证代码。 但是，它不会检查该电子邮件是否已注册。到目前为止，我们一直在通过单击create调用restapi来实现这一点。但现在需要在电子邮件验证步骤中检查该电子邮件是否已注册。 有没有办法在电子邮件验证步骤中调用RESTAPI？如果是的话，那怎么做呢 您可以将电子邮件地址和用户数据的输入分离到不同的页面，然后在下一页进行电子邮件验证。这样，您可以检查用户是否存在于上一页，并在下一页验证电子邮件 您也不需要调用REST端点来检查它们是

我想在用户访问B2C的忘记密码页面时添加一条自定义消息。当他们输入电子邮件地址且未找到“电话号码”时，应在“继续/取消”按钮下简单显示一条错误消息，如“未注册，请联系支持人员”（也可以在电子邮件文本框上方，如果在该框下做得太多，则通常会出现错误消息） 我有用户旅程和编排步骤来检测phonenumber是否存在的先决条件。但不确定如何执行此自定义错误消息。以下行程的顺序2需要该步骤来显示错误消息并完成（不运行进一步的步骤） 电话号码 SkipThisOrchestrationStep .....

我以问答的方式发布这个问题 我最近遇到了一个问题，我无法将回复URL添加到Azure广告应用程序注册中，该应用程序已在B2C租户中注册 我一直很高兴使用自动化更新回复URL，使用az ad-app-update--id$appIdentifier--add replyUrls“https:// 我将在我的回答中详细介绍这一点。解决方案是使用az rest命令并使用它直接调用Graph API。下面是我在Azure DevOps yaml管道中使用的PowerShell脚本 [CmdletBind

我一直在为B2C租户实施基于组的访问控制。 我已经设置了一个API钩子（POST），它接受用户的ObjectId，通过Graph API验证用户是否在允许的组中，并返回： 成功时200 OK 409不成功时的冲突 下面是使用409返回的对象： { "version": "1.0.0", "status": 409, "userMessage": "User is not authorized for t

我正在尝试访问android应用注册的同一台服务器上的API。登录android应用程序的过程运行良好。我尝试使用生成的IAAuthenticationResult.getAccessToken（）访问同一服务器上的API，但未成功。我在邮递员和我的应用程序上都收到一条401未经授权的错误消息。可用的示例应用程序可以与Microsoft Graph配合使用，但我没有看到任何示例访问其他形式的API，包括托管在同一客户端中的API。对我有效的解决方案是将android代码中的SCOPE参数指定为{

创建新租户时，我对国家/地区的含义有点困惑。 这不是我从其他服务（如美国西部、西欧等）习惯的地区 那么：我在这里选择“德国”的确切含义是什么？会发生什么 根据您选择的国家/地区，Azure AD B2C将选择最接近的数据中心/地区来保存您的Azure AD B2C目录。目前，Azure AD B2C仅使用欧洲和北美地区。如果选择德国，您的Azure AD B2C目录将在欧洲地区的数据中心中创建

是否可以在azure ad b2c中为登录策略设置“帐户锁定阈值”和“锁定持续时间” 提前感谢。不，我不相信您可以使用Azure门户或Azure AD Graph API配置这些锁定设置 （我希望，在未来，Azure AD B2C允许定制。）

我正在创建一个身份提供商，并将其纳入B2C定制政策 发现发生得很好，用户被发送到我的idp fine。 但是，当我将用户返回到B2C时，使用id\u令牌response type（我目前唯一支持的响应类型），B2C会在标题中给出错误。完全错误是： error_description=AADB2C90239: The provided id_token failed signature validation. Please provide another token and try again.

我无法存储或检索用于验证pwd重置的验证电子邮件是否与安装时最初输入的相同所需的strongAuthenticationEmailAddress 在注册过程中，我的AAD UserWriteUsingUserId TP包括写入电子邮件地址（注册包括电子邮件验证）： 写 真的 我试图稍后在我的AAD UserReadUsingUserId中检索它，该ID在作为pwd重置的一部分调用的验证步骤中调用： <TechnicalProfile Id="AAD-UserReadUs

我想探索在Azure广告B2C中使用年龄控制。我需要做什么才能访问Azure门户中与年龄限制相关的设置 我在以下网站上阅读了这篇文章： ，但其中包含的说明似乎不适用于我的Azure AD B2C租户或工作流，因为我只能执行“步骤2。[…]搜索并选择Azure AD B2C”。一旦我这样做，就没有“属性”可供选择。 我相信我已经搜索了azure门户中的所有相关页面，但找不到任何关于年龄限制的内容 可能相关：我可以在总体用户属性列表中看到“法定年龄组分类”用户属性，但它不显示为注册/登录工作流用户属

我有一个B2C目录，我已经为这个目录设置了品牌。除此之外，我还添加了一个带有自定义模板的登录、注册和重置策略。到目前为止没有问题。当我对登录策略发出质询时，将根据品牌配置呈现页面。当我尝试输入无效密码时，将使用错误模板 现在，如果当前用户的电子邮件地址以前是已知的，我会向身份验证属性添加一个登录提示，这样用户就不需要再次输入它。电子邮件地址按预期填充在电子邮件文本框中，但不再使用品牌配置 这是虫子吗 PS：我添加了一个注册或登录策略，我目前正在使用此策略来解决此问题，但如果知道为什么不起作用（即

我在看文件 但是，在替换下面的所有占位符后，它不会生成授权代码。我在Postman上得到的信息如下：当我尝试使用浏览器时，什么都不会返回 <noscript> <div id="no_js"> <div class="error_container"> <div> <h1>We can'

我在Azure AD B2C中设置了一些自定义策略，其中一个是用户使用用户名登录的流。我参考了以下内容。我的问题是，以前使用电子邮件地址设置的用户也可以使用其电子邮件地址作为用户名通过用户名流登录。我想阻止这一切 以下是我的前两个UserJourney步骤： <OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="ap

我使用azure提供的标准登录/注册用户流。并将Facebook登录添加为身份提供商。 在我通过Facebook认证之前，一切正常。一旦我通过身份验证，我将重定向到https://.b2clogin.com/.onmicrosoft.com/oauth2/authresp 在这个页面上，它显示了下面的页面，而不是让我登录 想知道我怎么能跳过这一步。 任何指针/帮助都将被apricated。B2C为社交提供商（和联盟）这样做，因为名字和姓氏可能不会在JWT中传递，它需要一些东西来“命名”用户 本