Azure B2C自定义策略-通过电子邮件确定索赔交换

时间:2020-08-12 08:08:56

标签: azure azure-ad-b2c identity-experience-framework

我想要下面的流程来使用Azure B2C自定义策略进行身份验证

  1. 用户应该看到字段,用户在其中输入他的电子邮件ID
  2. 根据电子邮件ID(域名),我们决定进行声明交换以验证用户身份。
  3. 可用的声明提供程序-本地帐户,使用Azure B2B AD租户登录。

对于第2点,我们可以使用Parse Domain Claims Transformation来解析域。

对于第3点,我已经使用默认的“本地和社交签名”入门包设置了必要的Claims Provider并验证了它的有效性。

1 个答案:

答案 0 :(得分:2)

您可以创建这样的用户旅程。

<OrchestrationSteps>
  <OrchestrationStep Order="1" Type="ClaimsExchange">
    <ClaimsExchanges>
      <ClaimsExchange Id="SelfAsserted-HRD" TechnicalProfileReferenceId="SelfAsserted-HRD" />
    </ClaimsExchanges>
  </OrchestrationStep>
  <OrchestrationStep Order="2" Type="ClaimsExchange">
    <Preconditions>
      <Precondition Type="ClaimEquals" ExecuteActionsIf="false">
        <Value>domainName</Value>
        <Value>contoso.com</Value>
        <Action>SkipThisOrchestrationStep</Action>
      </Precondition>
    </Preconditions>
    <ClaimsExchanges>
      <ClaimsExchange Id="AAD-OIDC" TechnicalProfileReferenceId="AAD-OIDC" />
    </ClaimsExchanges>
  </OrchestrationStep>
  <OrchestrationStep Order="3" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
    <Preconditions>
      <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
        <Value>domainName</Value>
        <Value>contoso.com</Value>
        <Action>SkipThisOrchestrationStep</Action>
      </Precondition>
    </Preconditions>
    <ClaimsProviderSelections>
      <ClaimsProviderSelection ValidationClaimsExchangeId="SelfAsserted-LocalAccountSignin-Email" />
    </ClaimsProviderSelections>
    <ClaimsExchanges>
      <ClaimsExchange Id="SelfAsserted-LocalAccountSignin-Email" TechnicalProfileReferenceId="SelfAsserted-LocalAccountSignin-Email" />
    </ClaimsExchanges>
  </OrchestrationStep>
  ...
</OrchestrationSteps>

第一个编排步骤执行 SelfAsserted-HRD 技术资料,可以在该资料中输入电子邮件地址,然后调用 SetDomainName 声明转换,以解析电子邮件域。

<ClaimsProvider>
  <DisplayName>Self-Asserted</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="SelfAsserted-HRD">
      <DisplayName>Self-Asserted HRD</DisplayName>
      <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.SelfAssertedAttributeProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
      <Metadata>
        <Item Key="ContentDefinitionReferenceId">api.selfasserted</Item>
      </Metadata>
      <IncludeInSso>false</IncludeInSso>
      <InputClaims>
        <InputClaim ClaimTypeReferenceId="email" />
      </InputClaims>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="email" Required="true" />
      </OutputClaims>
      <OutputClaimsTransformations>
        <OutputClaimsTransformation ReferenceId="SetDomainName" />
      </OutputClaimsTransformations>
      <UseTechnicalProfileForSessionManagement ReferenceId="SM-AAD" />
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

如果电子邮件域等于联合域,则第二个业务流程步骤将执行 AAD-OIDC 技术配置文件,以重定向外部身份提供者。

如果电子邮件域不等于联合域,则业务流程的第三步执行 SelfAsserted-LocalAccountSignin-Email 技术配置文件,该文件显示本地帐户注册或登录页面。

相关问题
最新问题