У меня есть Azure AD с именем FOO, где у меня есть группа пользователей. Я создал Azure ADB2C как ресурс внутри каталога FOO с именем BAR, в котором я хочу регистрировать / регистрировать пользователей. Однако, если вы уже являетесь пользователем в FOO, я хочу, чтобы вы могли подключаться через Identity Provider.

Это возможно? У меня не получилось сделать эту работу. В настоящее время я слежу за этими документами:

1 Похоже, это работает для FOO AD для FOO ADB2C.

2 Это похоже на мой сценарий.

3 Похоже, это сработает для FOO ADB2C с BAR ADB2C.

Даже несмотря на то, что второй документ соответствует моему сценарию, я вижу, что использование настраиваемых политик обязательно, что мне не нравится. Есть ли обходной путь? Кто-нибудь сталкивался с таким сценарием раньше?

0
Vivere 14 Сен 2021 в 11:03

2 ответа

Лучший ответ

Поскольку вы используете поток входа, Azure AD B2C ожидает, что объект пользователя будет существовать в каталоге B2C.

Вам нужно будет либо:

  1. Используйте поток входа / регистрации, который заставляет B2C создавать пользователя, если он еще не существует.
  2. Используйте настраиваемую политику, которая позволяет локальным пользователям входить в систему + создает объекты пользователей для ваших пользователей AAD, если они еще не существуют
0
juunas 14 Сен 2021 в 09:00

Вы также можете добавить собственного поставщика удостоверений OIDC.

  1. В вашем каталоге FOO зарегистрируйте новое приложение, которое будет представлять AAD B2C, и сгенерировать секрет клиента (не забудьте его где-нибудь сохранить) - это и идентификатор приложения необходимо добавить на следующем шаге.
  2. Добавить нового поставщика удостоверений в арендаторе BAR как OIDC (поставщики удостоверений на LHS)
  3. В поле метаданных вставьте https: // login .microsoftonline.com / FOO.onmicrosoft.com / v2.0 / .well-known / openid-configuration
  4. Установите FOO для подсказки домена, oid для идентификатора пользователя, name для отображаемого имени, given_name для данного имени, family_name для фамилии и unique_name для электронной почты (это в моем случае) После этого вы сможете выбрать своего клиента FOO в качестве дополнительной кнопки в ваш пользовательский поток, как Google, Facebook или что там у вас есть

Другой вариант - использовать настраиваемые политики.

1
jskop 16 Сен 2021 в 13:26