如何使用自定义策略检查用户是否存在于AD B2C中?

时间:2020-01-22 19:32:05

标签: xml azure-ad-b2c identity-experience-framework

我有一个注册流程,并且工作正常,并且它是多步骤的操作:

  1. 联系方式
  2. 验证
  3. 密码

现在流程是,在完成所有步骤之后,将创建一个新用户,如果该用户名已经存在,那么在最后一步中,我将收到一条错误消息,表明该用户已经存在。现在,我需要更改此流程。输入联系方式(电子邮件)后,我要检查该用户是否存在。如果存在,那么我需要在第一步本身的最后一步中显示错误消息,并阻止从下一步进行下一步。

要实现这一目标,我要做的是:

创建了一个使用电子邮件读取用户详细信息的TP,并将其作为第一步的验证技术资料:

<TechnicalProfile Id="AAD-CheckUserExist">
                    <Metadata>
                        <Item Key="Operation">Read</Item>                        
                        <Item Key="RaiseErrorIfClaimsPrincipalAlreadyExists">true</Item>
                    </Metadata>
                    <IncludeInSso>false</IncludeInSso>
                    <InputClaims>                       
                        <InputClaim ClaimTypeReferenceId="email" PartnerClaimType="signInNames.emailAddress" />                        
                    </InputClaims>
                    <OutputClaims>
                        <!-- Required claims -->
                        <OutputClaim ClaimTypeReferenceId="objectId" />
                        <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="localAccountAuthentication" />
                        <!-- Optional claims -->
                        <OutputClaim ClaimTypeReferenceId="userPrincipalName" />
                        <OutputClaim ClaimTypeReferenceId="displayName" />
                        <OutputClaim ClaimTypeReferenceId="accountEnabled" />
                        <OutputClaim ClaimTypeReferenceId="otherMails" />
                        <OutputClaim ClaimTypeReferenceId="signInNames.emailAddress"/>
                        <OutputClaim ClaimTypeReferenceId="signInNames.phoneNumber"/>
                        <OutputClaim ClaimTypeReferenceId="givenName" />
                        <OutputClaim ClaimTypeReferenceId="surname" />
                    </OutputClaims>
                    <IncludeTechnicalProfile ReferenceId="AAD-Common" />
                </TechnicalProfile>

并将 <Item Key="RaiseErrorIfClaimsPrincipalAlreadyExists">true</Item> 添加到 <Metadata>

以下是验证配置文件部分:

 <ValidationTechnicalProfiles>
    <ValidationTechnicalProfile ReferenceId="AAD-CheckUserExist" ContinueOnError="false"/>
 </ValidationTechnicalProfiles>

但是它没有按预期方式工作,在第一步中单击下一步后,我尝试对现有用户进行操作,它可以无误地移动验证步骤。

1 个答案:

答案 0 :(得分:2)

RaiseErrorIfClaimsPrincipalAlreadyExists 仅在操作为写入时起作用。

读取操作之后,仅当用户已经存在时才填充objectId声明。您必须使用 RaiseErrorIfClaimsPrincipalDoesNotExist = false 阅读,然后您可以使用ClaimTransformations和ValidationTechnicalProfiles来在objectId!= null时阻止UserJourney。

编辑: 例子

我在AAD索赔提供者下创建了 AAD-UserReadUsingEmailAddress-RaiseIfExists 技术资料

    <TechnicalProfile Id="AAD-UserReadUsingEmailAddress-RaiseIfExists">
      <Metadata>
        <Item Key="Operation">Read</Item>
        <Item Key="RaiseErrorIfClaimsPrincipalDoesNotExist">false</Item>
      </Metadata>
      <IncludeInSso>false</IncludeInSso>
      <InputClaims>
        <InputClaim ClaimTypeReferenceId="email" PartnerClaimType="signInNames.emailAddress" Required="true" />
      </InputClaims>
      <OutputClaims>
        <!-- Required claims -->
        <OutputClaim ClaimTypeReferenceId="objectId" DefaultValue="NOTFOUND" />
        <OutputClaim ClaimTypeReferenceId="objectIdNotFound" DefaultValue="NOTFOUND" AlwaysUseDefaultValue="true" />
      </OutputClaims>
      <OutputClaimsTransformations>
        <OutputClaimsTransformation ReferenceId="AssertObjectIdObjectIdNotFoundAreEqual" />
      </OutputClaimsTransformations>
      <IncludeTechnicalProfile ReferenceId="AAD-Common" />
    </TechnicalProfile>

如您所见,我正在使用电子邮件声明来搜索用户,并且只返回objectId。请注意 RaiseErrorIfClaimsPrincipalDoesNotExist = false 以及objectId具有默认值NOTFOUND的事实。根据AlwaysUseDefaultValue =“ true”

,objectIdNotFound将始终不存在

objectIdNotFound是一个简单的字符串声明

  <ClaimType Id="objectIdNotFound">
    <DisplayName>Used for comparison</DisplayName>
    <DataType>string</DataType>
  </ClaimType>

AssertObjectIdObjectIdNotFoundAreEqual OutputClaim转换如下:

   <ClaimsTransformation Id="AssertObjectIdObjectIdNotFoundAreEqual" TransformationMethod="AssertStringClaimsAreEqual">
    <InputClaims>
      <InputClaim ClaimTypeReferenceId="objectId" TransformationClaimType="inputClaim1" />
      <InputClaim ClaimTypeReferenceId="objectIdNotFound" TransformationClaimType="inputClaim2" />
    </InputClaims>
    <InputParameters>
      <InputParameter Id="stringComparison" DataType="string" Value="ordinalIgnoreCase" />
    </InputParameters>
  </ClaimsTransformation>

然后我将 AAD-UserReadUsingEmailAddress-RaiseIfExists 用作我的自我声明的技术资料中的验证技术资料

    <TechnicalProfile Id="LocalAccountSignUpWithLogonEmail-CheckEmailAlreadyExists">
      <DisplayName>Email signup</DisplayName>
      <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.SelfAssertedAttributeProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
      <Metadata>
        <Item Key="IpAddressClaimReferenceId">IpAddress</Item>
        <Item Key="ContentDefinitionReferenceId">api.localaccountsignup</Item>
        <Item Key="language.button_continue">Next</Item>
        <Item Key="UserMessageIfClaimsTransformationStringsAreNotEqual">There is another user with this email address</Item>
      </Metadata>
      <InputClaims>
        <InputClaim ClaimTypeReferenceId="email" />
      </InputClaims>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="Verified.Email" Required="true" />
      </OutputClaims>
      <ValidationTechnicalProfiles>
        <ValidationTechnicalProfile ReferenceId="AAD-UserReadUsingEmailAddress-RaiseIfExists" />
      </ValidationTechnicalProfiles>
    </TechnicalProfile>

使用此设置,当您单击“继续”时,将执行验证技术配置文件,并且如果已有用户使用插入的电子邮件,则会引发错误。发生这种情况的原因是,如果找到用户,则objectId将是一个GUID,并且不等于“ NOTFOUND”。 您可以通过 UserMessageIfClaimsTransformationStringsAreNotEqual 元数据来更改错误消息。

HTH,F。

相关问题
最新问题