我正在使用Azure AD B2C,我希望为我的应用程序提供基于组的用户分发。假设我有两个子域subA.myapp.com和subB.myapp.com。另一方面,我在Azure B2C中有两个组subA和subB。现在,用户想要登录subA.myapp.com,但不是群组subA的成员,我想拒绝用户登录。
我知道Azure B2C在访问令牌中不包含组信息。所以我实际上会使用Graph API来获取用户的组成员资格。但我不太确定是否有适当的事件可以拦截验证过程并手动拒绝用户登录。另外,我认为我可以使用*Validator的{{1}}方法之一但不确定哪一种方法。
我看过Authorize By Group in Azure Active Directory B2C。我的问题不同,因为该问题试图仅基于组成员身份保护某些操作,我希望根据组成员身份阻止整个登录过程失败。
答案 0 :(得分:2)
您可以在SelfAssertedAttributeProvider技术配置文件创建的页面上使用ValidationTechnicalProfile。使用验证技术配置文件,您可以首先对用户进行身份验证,然后调用可以查找用户组成员身份并返回成功/失败响应的Rest API。
如果响应成功,流程将继续。如果失败,将向用户显示错误。