Question

鉴于通过https://login.microsoftonline.com/tfp/MyTenantName.onmicrosoft.com/signinsingunp作为发布者网址通过AAD B2C保护的天蓝色功能，我可以通过msal.js应用成功验证b2c用户，好像我尝试将发布者URL更新为我的b2ctenant域登录URL（由于此建议redirect URLs to b2clogin.com）并更新msal.js应用程序中的权限以匹配域（myapp.b2clogin.com/tfp/MyTenantName.onmicrosoft）。 com / signinsingunp），我收到相同的Azure功能401，请多多指教。

下面是详细的设置详细信息，

Azure AD B2C租户
- 域名：MyTenantName.onmicrosoft.com
  - 应用程序：
    - ApplicationA-Api
      - WebApp / API：是
      - 允许隐式流量：是
      - 回复网址：https://myazurefunsapi.azurewebsites.net/.auth/login/aad/callback
      - 应用程序ID：https://MyTenantName.onmicrosoft.com/ApplicationA-Api
      - 已发布范围：已读，user_impersonation
      - API访问：访问用户个人资料
    - ApplicationB-Portal
      - WebApp / API：是
      - 允许隐式流量：是
      - 回复网址：https://myportal.domain.com
      - 应用程序ID：https://MyTenantName.onmicrosoft.com/ApplicationB-Portal
      - 已发布范围：user_impersonation
      - API访问权限：ApplicationA-Api（读取，代表登录用户访问此应用程序），访问用户配置文件（offline_access，openid）
  - 用户流
    - 注册登录
      - 应用程序：ApplicationA-Api
      - 回复网址：https://myazurefunsapi.azurewebsites.net/.auth/login/aad/callback
      - 选择域：
        
        MyTenantName.b2clogin.com
        
        login.microsoftonline.com
天蓝色函数
- 身份验证/授权
  - 应用程序服务身份验证：启用
  - 未经身份验证时应采取的措施：使用Azure AD登录
  - 身份验证提供者：
    - Azure AAD：
    - 管理模式：高级
    - 客户端ID：B2C-ApplicationA-ApplicationID
    - 发布者网址：login.microsoftonline.com /......./ opendid ......
静态网站
- 由msal.js（v0.2.4）完成的b2c集成
- clientID：B2C-ApplicationB-ApplicationID
- 权限：https://login.microsoftonline.com/tfp/b2ctenantname.onmicrosoft.com/signinsingunp
- b2cscopes：ApplicationA-Api阅读

谢谢！

Answer 1

您需要做的就是更改Issuer URL（您写为Issuer URL，但必须是.well-known config URL）以与b2clogin.com域匹配。

从上面，我看到您在Azure函数上的OpenID配置URL是

login.microsoftonline.com /......./ opendid ......

但是它应该与b2clogin域的静态网站的.well-known配置匹配。应该是

https://tenantname.b2clogin.com/tfp/tenantname.onmicrosoft.com/B2C_1_Policy/v2.0/.well-known/openid-configuration

Answer 2

我终于找到了解决方案...

花了很多时间进行搜索，但这取决于issue raised on GitHub

从本质上讲，我在设置UserAgentApplication以使用别人提到的新b2clogin.com域时更改了权限。尽管此操作无法立即生效，但我收到了与注释中提到的错误相同的消息，因此我必须在配置中设置validateAuthority: false。

我在下面提供了有关如何设置我的示例的示例。我的ClientID在Azure中与在MSAL.js中相同

var msalConfig = {
      auth: {
        clientId: "xxxx",
        authority: "https://xxxx.b2clogin.com/tfp/xxxx.onmicrosoft.com/B2C_xxxx", 
        webApi: 'https://xxxx.azurewebsites.net',
        b2cScopes: this.appConfig.b2cScopes,
        validateAuthority: false
      },
      cache: {
        cacheLocation: "localStorage",
        storeAuthStateInCookie: true
      }
    };
this.clientApplication = new Msal.UserAgentApplication(msalConfig);

希望这会有所帮助！

使用B2C租户域时，由Azure AD B2C保护的Azure功能返回未授权

2 个答案: