我们有一个AAD B2C设置,允许外部用户使用AAD B2C中维护的帐户登录。此外,内部公司用户将根据https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-setup-aad-custom
使用其AAD帐户登录对于通过AAD进行身份验证的内部用户,有一个请求禁止在AAD B2C中创建联盟用户帐户。
我假设我可以从UserJourney中删除步骤以停止写入目录。
有人成功做到了吗?此外,我们将失去对这些用户的B2C审核功能-还有其他原因不这样做吗?
答案 0 :(得分:0)
为防止联合帐户在B2C目录中具有任何表示形式,请删除涉及“ writeUsingAlternativeSecurityId”的用户旅程步骤。缺点是您不能在B2C目录中为该用户编写任何扩展数据,只能从AAD声明AAD令牌可以流入B2C令牌中,并且无法在旅途或用户输入屏幕中通过API调用获取任何实时数据。审核日志将与登录/退出请求完全保持一致。
在用于Azure Ad Federation的OIDC技术配置文件中,添加名为提示符的输入参数,并将defaultValue传递给它“登录”。这将迫使用户选择他们在AAD的帐户。虽然,如果用户在AAD上具有SSO,则他们可能仍不必提供密码,例如,如果他们已加入Azure AD域。 您需要定义ID为“ prompt”的字符串声明。