带有KMSI的Azure ad b2c自定义策略,浏览器关闭后自动登录不起作用
我已经使用KMSI(保持登录状态)选项创建了azure ad b2c自定义登录策略,并将其用于blazor服务器应用程序中,
但是在关闭浏览器后自动登录不起作用,需要单击“登录”按钮。
如果在上一次登录时选中了KMSI复选框,则单击登录按钮后无需再次输入凭据。
但是,如果我在登录KMSI时选中了复选框,我想自动登录。
3 个答案:
答案 0 :(得分:0)
您是否可以检查应用程序发送到Azure AD B2C的授权请求,其中是否包含prompt=login查询字符串参数?如果是,请确保删除此参数。
答案 1 :(得分:0)
这是预料之中的,您的应用程序cookie不会持久存在,因此该应用程序不知道您是否仍在B2C上登录。因此,您必须在应用程序中单击“登录”,然后才能通过AAD B2C获得SSO。
您可以维护应用程序设置的cookie,以便如果用户先前已使用KMSI登录,则可以通过登录端点自动发送用户。您可以使用索赔解析器将KMSI索赔发送到令牌中,以便您的应用可以理解使用KMSI登录的用户。 https://docs.microsoft.com/en-us/azure/active-directory-b2c/claim-resolver-overview
答案 2 :(得分:0)
我已经测试了KMSI的功能,可以重现您的症状。我的测试基于以下演示:https://github.com/Azure-Samples/active-directory-b2c-dotnet-webapp-and-webapi 这是我的测试过程如下:
- 注册本地帐户。
- 通过该帐户登录,并启用KMSI
我成功登录:
- 关闭浏览器,重新打开浏览器,然后进入我的应用程序索引,允许匿名访问我的索引页面,所以不知道我是谁:我认为这是您关注的问题:
但是,当我单击“ Claims”标签需要验证用户身份时,它将重定向到我的b2c域:
当我启用KMSI时,我的b2c域下就有一个cookie:
由于存在该cookie,B2C会向我提供我请求的资源:b2c端发送一个请求,以重定向带有ID令牌和代码的URL:
最后,它重定向到“声明”页面,并且此应用知道我是谁:
总而言之,这里有两种会话:用户与B2C之间的会话以及用户与您的应用程序之间的会话。 关闭浏览器后,默认情况下,您将丢失该用户在应用程序上的cookie,因此用户在重新打开浏览器后无需访问您的应用程序即可访问某些页面,而无需对您的应用程序进行身份验证,就不会有cookie,您的应用程序不认识该用户。但是在B2C方面,由于KMSI,该cookie将保留在那里。只有用户请求某些功能需要在您的应用程序上进行身份验证,用户将被重定向到B2C域,而B2C会将用户的信息发送到您的应用程序将使KMSI正常工作。
我认为,也许延长应用程序cookie的生存期将是解决方案。同时,您还需要扩展会话超时,以确保您的应用程序可以识别该使用寿命长的cookie。但是我们知道,如果服务器RAM容纳大量会话,这将是一个很大的消耗。
- Azure AD B2C - 登录策略 - SSO并让我签名不起作用
- Facebook通过Azure AD B2C自定义策略登录
- 具有用户名登录的Azure AD B2C自定义策略
- Azure AD B2C:自定义策略-登录不起作用
- Azure AD B2C自定义登录策略显示SignUpSignIn
- Azure AD B2C无密码登录自定义策略
- 电话注册和登录Azure ADB2C中的自定义策略不起作用
- Azure B2C自定义策略本地帐户KMSI无法让我登录
- 带有KMSI的Azure ad b2c自定义策略,浏览器关闭后自动登录不起作用
- 没有自定义策略的 Azure AD B2C 多租户登录?
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?