我希望在执行自定义SignUpSignIn策略时返回的声明中包含policyId 我认为这应该在索赔Idtfp中 关于如何做到这一点，目前还没有定论 在“Setting claim representing policy ID”一节中，它表示在“Token Issuer”ClaimsProvider覆盖中包括密钥AuthenticationContextReferenceCallImpattern 代币发行人 ..... 没有一个 然后，您必须在输出声明中添加信任框架策略。我这样想： 保单

我正在使用MSAL登录我的B2C活动目录 登录似乎工作正常。我得到一个ID令牌，然后可以使用它来获得访问令牌 如果然后使用clientApplication调用getUser，它将返回一个对象，但名称未定义。Azure Active directory中的用户已填写user.name字段 yield login(); yield put({ type: AUTH_BEGIN_GET_TOKEN }); const token = yield call(acquireTok

我有一个sitecore应用程序（9.0版）托管在azure中。我有一个azure广告与由公司内部用户组成的内部广告同步。我已授予公司内部用户对sitecore应用程序的完全访问权限 我想让我的b2c用户从不同的领域访问网站的核心应用程序。外部用户来自单独的azure广告。但是，外部用户仅对sitecore应用程序具有只读权限 如何允许外部和内部用户访问azure中托管的sitecore应用程序？是否要将内部用户直接从azure AD联合到sitecore？或者，您可以通过Azure AD B2

我正试图在注册电子邮件邀请时将自定义属性值（写入AAD B2C） 它与AAD B2C本地客户配合良好 它对谷歌账户不起作用 我使用以下组合： SocialAndLocalAccounts版本的启动包： 社区提供的“通过电子邮件邀请注册”示例： Microsoft用于设置Google自定义策略的文档： 一些自定义属性示例：et 以下是我使用的自定义属性： 我的外部应用程序标识符 一串 外部应用程序标识符 只读 “谷歌帐户注册电子邮件邀请”用户旅程： 电子邮件 SkipThisOrches

我们使用B2C作为身份服务器，笔测试表明b2login.com端点接受TLSv1.0和TLSv1.1。我们公司的政策是使用TLSv1.2。我可以在.b2clogin.com上配置TLS级别和密码吗？因此，Microsoft Azure建议所有客户完成向支持传输层安全TLS 1.2的解决方案的迁移，并确保默认情况下使用TLS 1.2 目前无法将b2clogin.com配置为仅接受TLS 1.2，由Microsoft控制。您能谈谈您的测试方法吗？笔测试使用工具sslscan sslscan-xml=

我正在玩一点MSAL，用于Azure B2C的身份验证操作。出于某种原因，它尝试将用户重定向到HTTP端点，而不是HTTPS端点，同时通过弹出窗口获取令牌。我的应用程序在B2C中有HTTPS重定向URL。MSAL配置设置了相同的重定向URL。我找不到任何MSAL或B2C配置HTTP端点的地方。错误是： 混合内容：页面位于'https://MYPAGE.com'已通过HTTPS加载，但要求一个不安全的框架'http://MYPAGE.com/#error=interaction_required&

我已经本地化了DisplayName和UserHelpText（如下所示）。如何本地化电子邮件模式帮助文本（“您提供的电子邮件无效”）？请告知 <ClaimType Id="signInName"> <DisplayName>Please enter your email</DisplayName> <DataType>string</DataType> <UserHelpText>

我正在尝试在b2c中实现自定义ROPC流。其思想是，受信任（内部）应用程序可以获得用户令牌，而无需使用其主密码（用户可能有多种凭据），但可以使用其他凭据 我遵循的是上的文档，但它明确指出： 机密客户端流：已验证应用程序客户端ID，但未验证应用程序机密 但是，从我的观点来看，这些流应该只被特权客户使用，因此B2C需要验证客户的秘密，但这不是一个选项 是否有一个解决方法，也许我可以在自定义策略定义中使用一些参数 我知道这可以使用非ROPC流实现，但有些应用程序无法将用户重定向到网页（如电视应用程序）

我正在使用Azure ADB2C租户使用自定义策略和注册用户。这个很好用 现在，我想为注册我的服务的每个用户启动一个在云环境中运行的服务（守护进程）。此后台服务将访问其他服务器上的资源。访问这些资源需要一个令牌，服务应该只能访问用户拥有的资源（即：后台服务使用的访问令牌还应该包括自定义RESTAPI声明）。对于普通用户，这由我的restapi声明服务器负责，它丰富了令牌，让用户只能访问允许的资源 我发现了如何在没有用户的情况下获得访问权限。但此页面假定后台服务是一个实例，可以访问它所需的所有用户

我们可以从用户旅程上下文提供程序获取用户的IP地址，但我需要用户位置详细信息。是否可以获取用户位置详细信息？所有索赔解析程序都在这里： 您无法解析他们的位置/城市等。您可以向用户询问他们的位置： 或者使用您自己的REST API将IP解析到某个位置：

我正在玩ASP.NET Core和Azure AD B2C，当使用GitHub（）的代码示例时，注销部分不起作用。 在帐户控制器中 [HttpGet] public async Task LogOff() { if (HttpContext.User != null && HttpContext.User.Identity.IsAuthenticated) { string scheme =

我已经在Azure AD B2C中使用ROPC自定义策略创建了一个原型。它当前标记为预览。此功能是否有大概的发布日期？是的，有关自定义策略的此功能已使用身份体验框架发布。有关详细信息，您可以阅读。此功能在预览期间运行良好。 我们的计划是在2019年1月至3月的第一季度对其进行GA。目前，我们预计在正式上市之前无需进行任何更改。请将您的经验反馈给：aadb2cpreview@microsoft.com 谢谢,， Jose如果有任何更新，请告诉我，谢谢！

Azure广告在Azure政府云和商业云上都是FedRAMP授权的。Azure AD B2C是否属于同一类服务，或者是需要授权的独立服务？在收到产品组的更新后更改此答案： Azure AD B2C尚未正式上线，但正在上线过程中，虽然我们没有时间表，但预计在未来会上线 Azure AD B2C现在正式在公共云中符合FedRAMP高标准 如果您在这上面签出服务说明，它不会提到Azure AD B2C。如果你能帮我澄清一下，谢谢。我相信它是分组的，但我要求Microsoft FedRAMP联系人检查。

我正在IdentityServer 4和Azure AD B2C之间设置OP联合网关（IdentityServer是网关）。由于我想从B2C的内置MFA中获益，我想知道使用了哪种身份验证方法——OpenID Connect核心规范（）中指定的amr声明 我尝试了启用MFA的登录v1和v2默认策略，但只接收包含以下内容的ID令牌： { "exp": 1569784695, "nbf": 1569781095, "ver": "1.0", "iss": "myb2cinstance.

我们有以下用例： 1.用户注册，以便查看我们网页的某些区域。（无需mfa）/* 2.用户可以更改其银行帐户/cc号码。（需要mfa）/银行 这可以通过azure b2c开发吗 问候 Stefan让应用程序读取当前id_令牌的acr声明。如果acr值不属于访问网站特定部分所需的策略，则启动满足该要求的策略。这就是我们所说的加速 我有一个演示。 在此演示中，用户使用普通登录/注册策略登录。当他们试图点击应用程序中的按钮（汇款）时，他们必须通过另一个包含MFA步骤的B2C策略 请参见如何检查acr值

可以从调用B2C策略的web应用程序传递额外的查询参数 对于MSAL： AuthenticationParameters.extraQueryParameters { extraQueryParameters: { ['utm_source']: window.location.origin }, } 这将在URL中添加“&utm\u source=something.com” mytenant.b2clogin.com/mytenant.onmicrosoft.com/oauth2/v2

我有一个部分，我们的网站，用户可以编辑他们用来登录的电子邮件地址。我认为让用户输入验证码是一个好主意，以确保他们输入的电子邮件地址不仅正确，而且通常有效 我知道B2C允许我发出Graph API请求，该请求将使用补丁请求修改标识属性，如下所示： { "identities": [ { "signInType": "emailAddress", "issu

我有一个场景，不希望有一个登录屏幕，它结合了本地和社交/联邦帐户的登录。原因是用户可能会感到困惑，可能不知道自己属于哪个类别。因此，登录体验应为：- 用户提供电子邮件 用户单击下一步 读取扩展名类型值的目录 如果extension_Type等于“Internal”，则通过联合登录获取用户（将在自定义策略中添加IdP索赔提供程序） 如果extension_Type等于“External”，则要求用户输入密码，然后单击登录按钮 任何帮助都将不胜感激。你应该从最开始的时候开始。如果在旅程步骤中有一些先

我将Blazor webassembly与Azure ADB2C一起使用。典型的任务是仅检索登录用户的那些记录。AzureB2C的哪个字段是用作授权用户主键的最佳实践 我假设使用由Azure ADB2C创建的guid对象ID是正确的唯一字段。然而，我也看到互联网上使用用户电子邮件和/或用户名的例子 我计划将此字段用作用户数据库表中的唯一字段。使用userprincipalname或objectID进行查询 GET /users/{id | userPrincipalName} 您可以对Micr

所有在线参考都使用Azure AD-是否可以将Azure AD B2C与PowerBI一起使用？目前无法使用Azure AD B2C令牌访问PowerBI仪表盘。我鼓励您投票支持此功能 出于好奇，您想做什么？我们正在使用AAD B2C进行身份验证，并希望简化对PowerBI的访问-猜测这两个步骤需要分开。。。认为accessToken可以共享。非常感谢您的回答。非常感谢。

当用户尝试登录时，他们会收到“您的密码不正确”，但我知道用户名/密码有效 我配置了，并收到以下信息： 引发了类型为“Web.TPEngine.Providers.BadArgumentRetryNeededException”的异常 这个错误是什么意思？我该如何修复它？事实证明，创建Azure AD应用程序时，它的创建不正确。它是作为一个Web应用程序/API创建的，而不是一个本机应用程序 @spottedmahn是100%正确的。对我来说，我错过了授予权限的部分 此外，您必须同时执行这两项操作

我们使用自定义登录/注册策略，将Facebook、LinkedIn、Twitter、Google+配置为社交IDP 我们已经构建了一个自定义页面，在该页面中，我们要求用户发送电子邮件，然后使用domain\u hint，将他们重定向到特定的IDP页面（我们有围绕此构建的逻辑），例如：domain\u hint=facebook.com 我想将用户在login\u hint的第一步中输入的电子邮件地址与domain\u hint一起传递，以便用户在重定向到IDP页面（Facebook.com）时不

在他们的网页上，50000以下的帐户或50000以下的身份验证没有SLA。我明白为什么，因为它是免费的。但是如果我们的用户群很小，但我们想要SLA呢 我明白为什么，因为它是免费的。但是如果我们的用户群很小，但我们想要SLA呢 你说的免费是什么意思？据我所知，Azure Active Directory B2C的免费层没有提供SLA，SLA描述了Microsoft对正常运行时间和连接的承诺。如果你的B2C可以支持SLA，你可以尝试与小用户。有关详细信息，您可以阅读 直接Azure客户：有一个可用的

我正在使用声明转换，这将导致在B2C数据库中使用新属性值的datatype odata.type创建一个额外属性。我做错了什么？为什么我会得到额外的属性 以下是我在B2C图表中看到的用户： 分机号0428f3354957491e96bb7ce51b81d46a_TOUAcceptedDateTime@odata.type：Edm.DateTime， 分机号：0428f3354957491e96bb7ce51b81d46a接受日期：2019-01-18T21:43:36.3993383Z 这是在配

我们想强迫用户提供和验证他们的电子邮件地址，即使他们拒绝从Facebook传递他们的电子邮件声明 我们创建了一个编排步骤，从Facebook回来后调用以下技术配置文件： <TechnicalProfile Id="SelfAsserted-ConfirmEmailSocial"> <DisplayName>Confirm email social</DisplayName> <Protocol N

我们有一个.net核心Web api，它使用Azure AD B2C进行身份验证和授权。 默认情况下，Azure会修剪用户在蓝色登录页面中输入密码之前或之后输入的任何空间。 我们的客户要求他们不希望空间被修剪（这意味着如果用户在密码之前或之后输入额外空间，他们应该显示“密码错误”） 我想知道是否有任何方法可以在自定义策略中实现这一点。使用自定义策略可以实现这一点。Azure AD B2C支持配置选项来控制客户可以使用的密码的复杂性。您可以使用DisallowedWhitespace谓词元素定义密

我正在创建一个自定义策略，并尝试自定义在不同页面之间加载策略时的行为。目前，其行为是屏幕变暗，显示一些与UI其余部分重叠的文本。如果可能的话，我想在加载过程中显示一些完全不同的HTML内容。到目前为止，我无法以影响UI其余部分的方式影响加载内容 我已经能够看到在加载ID为“simplemodal重叠”和“simplemodal容器”的过程中确实出现了几个div，并且我尝试在为自定义策略提供给Azure的HTML文件中使用JQuery修改这些div，但我所做的任何事似乎都没有以任何方式影响这些di

关于子行程的文档似乎有限 我有一个问题，在我的主题中，我读取用户并获取对象Id。在主用户旅程中，我稍后使用该对象Id再次读取用户，但它会抱怨 虽然objectId是Subcourney第一步中的输出声明，但主用户旅程不能使用该输出 <SubJourneys> <SubJourney Id="ResetPhoneNumberOnAccount" Type="Call"> <Orchest

嗨，我从这里的样品开始 并操纵TaskWebApp与TaskService对话 我现在想扩展解决方案，使其具有第三种服务 我不确定问题是否在机密客户端应用程序中，因为当它无法获取我的令牌时，我也不例外 我认为问题在于我的TaskWebApp中的COnfigureApp方法只希望管理来自单个令牌服务的令牌 这是我的web应用程序Starttup.Auth ConfigureAuth方法，与示例应用程序相同 public void ConfigureAuth(IAppBuilder app)

我正在使用来对Azure AD B2C进行一些测试，当我进行身份验证时，我将获得ID令牌、刷新令牌和身份验证令牌。但是，我没有返回userinfo_端点。据我所知，这就是允许在应用程序中查看配置文件按钮并允许我检索其他配置文件信息的原因 我不确定我是否配置了错误的东西，或者是否需要修改代码。示例代码使用AAD v2端点，我在某处读到v2端点不返回userinfo_端点，但我不确定这是否是旧信息 如何获取返回的userinfo_端点？目前，Azure AD B2C不支持userinfo端点。 我建

我是否可以定义一个数据类型为stringCollection，并通过Azure AD Graph API进行更新？我的实验失败了： 请求正文包含指定内容类型和编码的意外字符/内容 自定义属性定义 阵列测试 stringCollection 令牌中的数组测试 使用 您提供的文档中的第二个注释说明扩展属性当前仅支持字符串数据类型 作为替代方案，您可以将数据存储为转义JSON，如下所示： "extension_{GUID}_JsonAttribute": "{\"Item1\":\"Test\

我们正在使用自定义注册/登录策略，并且没有更改microsoft提供的任何属性及其规则 对于密码，验证未按照策略中给定的方式进行 <ClaimType Id="newPassword"> <DisplayName>New Password</DisplayName> <DataType>string</DataType> <UserHelpText>Enter new password</Use

我目前在配置B2C AAD时遇到问题。我想让这个例子开始运行，但我觉得文档中缺少了一些要点 我克隆了存储库，并希望获得与登录过程相同的代码。我将其部署在一个WebApp上，并使用Identity Experience框架下载TrustFrameworkBase.xml并相应地编辑LoadUri（）。我还可以毫无问题地上传它（步骤6）。 问题出现在第7步，它说要测试策略，“立即运行”功能在身份体验框架中不可用。除此之外，我创建的其他政策都有。 我不明白现在如何运行此登录过程 我已经为我的前端应用程

我在Azure B2C中创建了一个策略，下载了它并进行了一些定制。当我试图上传它时，我得到了这些我不理解的继承错误。即使我没有做任何更改，只是尝试上载刚下载的策略，我也会收到相同的错误。这个错误指的是什么？为什么不使用上载的策略覆盖策略 Unable to upload policy. Reason : Validation failed: 1 validation error(s) found in policy "B2C_1A_B2C_1_SIGNIN" of tenant "m60b2c.

我想为“即时密码迁移”用例做一次用户体验 我已经创建了一个自定义B2C属性，该标志指示密码是否已从遗留系统迁移。如果设置了此迁移标志，我希望对本地帐户执行正常的“CombinedSignandSignup”步骤。如果没有设置标志，我想调用RESTAPI来进行迁移 我可以在单独的用户旅程中轻松地实现这两个步骤，但当这两个步骤在同一个用户旅程中时，我无法使其工作。如果我的用户旅程包含多个组合签名和注册步骤，我会在执行过程中收到验证错误或错误，即使我为这些步骤设置了先决条件 如何将类型为Combine

我无法翻译文本“验证码已发送。请将其复制到下面的输入框。”在我使用Azure AD B2C的Sing up页面上 我试过这个解决办法，但对我不起作用。我能翻译这一页上的所有其他文本，但不能翻译这一篇 我试着做了以下事情，但没有成功： <ContentDefinition Id="api.localaccountsignup"> <LoadUri>~/tenant/templates/AzureBlue/selfAsserte

我正在尝试构建一个B2C自定义策略，该策略利用家庭领域发现和域提示 我们有两个人物角色 使用MFA在B2C中进行身份验证的本地用户 必须重定向到其公司登录页面的外部用户 用例： 用户被重定向到https://customdomain.b2clogin.com（无域提示）。 用户会看到一个登录页面，询问电子邮件地址，具体取决于用户类型： B2C的本地用户在我们的B2C页面中进行身份验证 （customdomain.b2clogin.com）。首先，用户输入电子邮件地址， 然后在Next上，用户输

在B2C租户中设置与SAML身份提供商的“登录方式”连接。他们提供了已成功导入并在自定义策略中引用的签名证书 无法从加载XML元数据 https://{tenant}.b2clogin.com/{tenant}/{policy}/samlp/metadata？idptp={technical profile} 遇到的错误是： AADB2C90020:不支持指定的签名算法“sha512RSA”。应为“sha1RSA”或“sha256RSA”之一。 也许这是真的，但很难相信更安全的算法根本不受支持。

我的情况是，B2C租户在注册时发送的验证电子邮件不会发送给某些域（如free.fr、neuf.fr、laposte.net、club-internet.fr等）的电子邮件地址的用户。 使用第三方电子邮件提供商可以解决此问题吗？谢谢@Nana，请按照此文档访问允许/拒绝电子邮件域-您是否可以证明它不会出现在他们的垃圾邮件过滤器中？我们不应该阻止在AAD B2C服务端发送电子邮件。不，邮件不会进入他们的垃圾邮件文件夹，这是他们被要求与用户确认的第一件事。

我如何允许用户更改他们的MFA设置，如他们的电话号码？我看不到任何选项可以让他们轻松做到这一点。目前无法更改Azure AD B2C用户的MFA设置 Azure广告B2C论坛中已经有一个关于此问题的请求，您应该投票支持： 试试这个。B2C MFA重置是我写它的原因。 由于它是powershell，您可以将其放入Azure函数中，并通过HTTP调用它，以允许用户自助服务。显然，用户不能这样做，因为MFA电话号码可以通过自定义策略更改。当您创建一个UserTravel调用一个TechnicalPr

我正在尝试使用/common Azure AD enpoint在Azure AD B2C中使用Azure AD Auth。根据，需要有一个机制来： 允许多个发行人，或 指定b2c可以验证的发行人列表 我在自定义策略XML中没有看到任何可能的设置允许这样做。我能够在我的TrustFrameworkExtensions.xml文件中成功创建Azure AD auth，但现在不是多租户 为了支持多租户Azure AD，您需要在自定义策略中使用不同的值配置ClaimsProvider 使用以下值，确保替

我们正在研究Azure AD B2C作为我们SaaS服务的通用身份管理解决方案 我们需要支持的一个场景是关于预付款（储值）支付卡的分发，在商店出售或由其他第三方提供给客户。客户获得带有PIN或一次性注册码的卡，并使用PIN或一次性注册码注册到持卡人门户，这是一个web应用程序/本机应用程序，允许他们查看卡历史记录、余额等 注册过程需要最终将卡标识为自定义声明，但还需要立即验证提供的代码。用户需要能够进入持卡人门户，单击“注册”，并显示基本信息和PIN/注册码的输入字段。提交时，需要验证PIN/r

我使用Visual Studio最新的项目向导创建了一个ASP Core 2.0网页（Razor网页），该网页使用个人帐户作为身份验证选项。我已经创建了一个Azure广告B2C租户，并验证了它是否正常工作 当我运行向导创建的web应用程序并单击右上角的“登录”时，它会重定向到我的Azure AD B2C站点，我可以正确登录 登录后，回调url将转到“我的用户机密”中配置的端点： ... "CallbackPath": "/signin-oidc", ... 这一切似乎都很正常。我了解Az

我有一个mvc应用程序，它提供了一个网站和一个webapi。我很高兴验证网站的用户。现在我需要允许windows应用程序直接调用web api方法。我不希望windows应用重定向到登录页面。我需要windows应用程序保存密钥或用户名/密码。这样它就可以自动进行身份验证 我担心b2c似乎无法处理客户凭证流——我想这是我想要的。有没有一种方法可以无声地向B2C提供用户名和密码？Azure AD B2C不实现OAuth2的客户端凭据或ROPC流。但ROPC是在Azure广告B2C路线图上 在您的情

我想用超文本链接来代替ClaimProviderSelection按钮。我该怎么办？我看了一个css示例（我不是内容开发人员），但我感兴趣的部分似乎是B2C在元素之间的融合。 请提供帮助。B2C将其HTML注入页面布局模板上的元素。这些按钮都将具有accountButton类，因此可以通过CSS选择器#api button.accountButton识别 如果您已经在使用自定义页面模板，那么您应该能够更新CSS以针对这些按钮元素，并删除所有默认按钮样式，如下所示： #api button.acc

是否可以从SAML2依赖方请求中读取自定义查询字符串参数 使用{OAUTH-KV:any自定义查询字符串}不起作用 例如： 我需要在声明中读取“myparameter”值。希望您尝试执行以下操作： <InputClaims> <InputClaim ClaimTypeReferenceId="givenName" DefaultValue="{OAUTH-KV:name}" /> </InputClaims>

我试图让Azure广告B2C在Mendix上运行。 我们有它的工作与正常的Azure广告这是很容易的，因为所有的事情都是在一个gui中完成的。 对于Azure AD B2C，这是在XML中完成的，所以有点困难 我已经学习了接下来的教程，这些都很有用。 如果我现在尝试让它与mendix一起工作，我会遇到下一个错误： 与发行人对应的已注册申请”https://xxxx.mendixcloud.com“在AuthRequest中没有断言使用者服务URL”https://xxx.mendixcloud

我想限制azure b2c租户中的一部分用户访问我的应用程序。我该怎么做 如果我的用户正在使用自助服务流程注册，我们是否可以通过编程方式向用户添加组？如果您使用自定义B2C策略，您可以执行以下操作之一： 1） 使用REST提供程序技术配置文件调用自定义API以将用户添加到组中。（目前B2C本机不支持团体成员资格），然后您需要在每次登录时再次执行此操作以检索mebership 2） 如果只是为了识别用户组，只需使用属性即可。ieApplication1=True/False，Application

我正在使用Azure B2C和使用Microsoft.Identity.web的dotnet core 3.1 Razor页面web应用程序。我已经运行了它，并且已经能够使用登录。在我的B2C1_susi用户流中，我收集显示名称和电子邮件。我想在my_LoginPartial.cshtml中显示显示名称，而不是User.Identity.Name： <li class="nav-item"> <a class="nav-link text

我希望实现这一点： 我有两个应用程序使用adb2c进行身份验证。我希望用户能够在第一个应用程序中以交互方式登录，然后在第二个应用程序中以静默方式登录 我现在拥有的： 这两个应用程序都在Azure环境中注册，具有两个不同的客户端id。 除了客户端id之外，这两个应用程序共享完全相同的代码、相同的缓存和相同的配置。 我正在用C#编写代码，并使用Microsoft.Identity.Client dll 我的问题是： 如果我对两个应用程序使用相同的客户端id（就像它们注册为单个应用程序一样），用户可以