Мультитенантная аутентификация Azure AD в Azure AD B2C с настраиваемыми политиками
Я пытаюсь использовать Azure AD Auth в Azure AD B2C с помощью /common Azure AD enpoint. В соответствии с разделом Как войти в систему любого пользователя Azure Active Directory (AD) с использованием шаблона мультитенантного приложения, должен существовать механизм для:
- Разрешить несколько эмитентов, или
- Укажите список эмитентов, с которыми b2c может проверить.
Я не вижу каких-либо возможных настроек в XML пользовательских политик, которые позволили бы это. Мне удалось успешно создать аутентификацию Azure AD в моем файле TrustFrameworkExtensions.xml, но теперь я не являюсь мультитенантным.
1 ответ
Чтобы поддерживать мультитенантную Azure AD, вам нужно настроить свой ClaimsProvider в настраиваемой политике с различными значениями.
Используйте значения ниже, убедившись, что вы заменили на client_id и IdTokenAudience.
<Item Key="DiscoverMetadataByTokenIssuer">true</Item>
<Item Key="ValidTokenIssuerPrefixes">https://sts.windows.net/</Item>
<Item Key="authorization_endpoint">https://login.microsoftonline.com/common/oauth2/authorize</Item>
<Item Key="client_id">df5b2515-a8d2-4d91-ab4f-eac6e1e416c2</Item>
<Item Key="BearerTokenTransmissionMethod">AuthorizationHeader</Item>
<Item Key="scope">openid</Item>
<Item Key="UsePolicyInRedirectUri">false</Item>
<Item Key="HttpBinding">POST</Item>
<Item Key="response_types">id_token</Item>
<Item Key="IdTokenAudience">df5b2515-a8d2-4d91-ab4f-eac6e1e416c2</Item>
ВНИМАНИЕ: Эта функция официально еще не доступна даже в режиме предварительного просмотра, поэтому используйте ее с осторожностью. Следите за официальной документацией "Вход с использованием учетных записей Azure AD", чтобы увидеть, когда это будет полностью задокументировано и поддерживается.
РЕДАКТИРОВАТЬ:
Эта функция теперь в предварительном просмотре, см. Официальную документацию по этому вопросу: Разрешить пользователям входить в мультитенантный поставщик удостоверений Azure AD с использованием пользовательских политик