如何在AAD B2C自定义策略中按声明读取用户?
在AAD B2C自定义策略中,按声明读取用户是通过使用自定义策略语言来实现的。自定义策略语言是Azure Active Directory B2C(AAD B2C)中的一种配置语言,可以根据用户的声明(claims)来定义身份验证和授权策略。
要按声明读取用户,首先需要创建一个自定义策略,并在其中定义相应的用户声明。用户声明可以包括用户的基本信息、角色、权限等。自定义策略语言提供了一些特定的指令和函数来读取这些声明。
以下是一个简单的示例,展示如何在AAD B2C自定义策略中按声明读取用户:
- 首先,在自定义策略文件中定义需要读取的用户声明。例如,可以使用
<OutputClaim>指令定义一个名为email的输出声明,用于读取用户的电子邮件地址:
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="email" />
</OutputClaims>- 接下来,在用户登录或注册的流程中使用
<LoadClaimsFromPartnerEntity>指令从用户声明中加载数据。例如,可以将以下代码添加到<TechnicalProfile>元素中:
<TechnicalProfile Id="SelfAsserted-LocalAccountSignin-Email">
<Metadata>
<Item Key="ContentDefinitionReferenceId">api.selfasserted</Item>
</Metadata>
<OutputClaims>
<!-- Existing output claims -->
<OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
</OutputClaims>
<ValidationTechnicalProfiles>
<!-- Validation technical profiles -->
</ValidationTechnicalProfiles>
</TechnicalProfile>- 最后,在需要访问用户声明的地方,可以使用
ClaimsTransformation函数来读取声明的值。例如,可以使用以下代码将用户的电子邮件地址输出到日志中:
<OrchestrationStep Order="1" Type="ClaimsExchange">
<Preconditions>
<Precondition Type="ClaimEquals" ExecuteActionsIf="false">
<Value>email</Value>
<Value>NOT_FOUND</Value>
<Action>SkipThisOrchestrationStep</Action>
</Precondition>
</Preconditions>
<ClaimsExchanges>
<ClaimsExchange Id="ReadEmailClaimExchange" TechnicalProfileReferenceId="SelfAsserted-LocalAccountSignin-Email" />
</ClaimsExchanges>
</OrchestrationStep>
<OrchestrationStep Order="2" Type="ClaimsExchange">
<Preconditions>
<Precondition Type="ClaimEquals" ExecuteActionsIf="false">
<Value>email</Value>
<Value>NOT_FOUND</Value>
<Action>SkipThisOrchestrationStep</Action>
</Precondition>
</Preconditions>
<ClaimsExchanges>
<ClaimsExchange Id="LogEmailClaimExchange" TechnicalProfileReferenceId="AAD-Common.WriteEmailToLog" />
</ClaimsExchanges>
</OrchestrationStep>上述代码片段中的AAD-Common.WriteEmailToLog是一个自定义的技术配置文件,用于将用户的电子邮件地址写入日志。
总结一下,按声明读取用户的过程包括定义用户声明、加载数据和使用ClaimsTransformation函数获取声明的值。通过自定义策略语言和相关配置,可以根据实际需求灵活地读取和处理用户声明。
对于实际应用场景中使用的腾讯云相关产品和产品介绍,建议参考腾讯云的官方文档和产品页面,以获取更详细和最新的信息。
相关·内容
使用Vue.js、Azure B2C租户和Azure函数(C#),我们能够对应用程序中的用户进行身份验证。我们在PKCE中使用Auth流&在前端利用MSALMSAL库来实现这一点。归根结底,我所寻找的就是如何获得用户的角色/组/权限的等价物的高级描述。目前,我正在考虑授权注册到我们的B2C租户的内部应用程序接口(通过Azure函数提供),以使用Microsoft Graph API获取角色/组/权限。用户通过使用其个人B2C</em
浏览 36提问于2021-02-09得票数 0
回答已采纳
我有一个自定义策略,允许少数用户以自己的身份进行身份验证,然后输入他们需要模拟的另一个用户的电子邮件地址(用于帮助台呼叫等)。AAD目录中的用户有两种类型-- 1)本地用户(第三方合作伙伴)和2)来自我们内部、公司AAD的联合用户。模拟本地用户正在运行。我想做的是基于otherMails读取用户(这在活动用户中是唯一的),但是当
浏览 7提问于2019-10-15得票数 0
我使用的是集成了B2C的EasyAuth应用程序服务。在B2C中,我已经将AAD提供程序配置为指向我们的公司OpenID租户。用户过程和身份验证工作正常,但是返回到EasyAuth的用户sub和oid包含用户的B2C对象的id,而不是我所希望的来自原始AAD租户的id。不管怎样,围绕这件事?是否需要自定义策略?在这里还引用了B2C文档站点:
谢谢
浏览 1提问于2019-02-05得票数 0
1回答
我已经使用PKCE实现了一个Azure B2C身份验证解决方案,但现在我想将其与一个类似于MS身份服务器模型中的角色的授权服务联系起来。
你需要“滚动你自己的”解决方案吗?例如,一旦用户通过身份验证,我需要确定他们是否具有管理员权限、读/写或只读访问权限。作用域不支持此级别的粒度。
浏览 1提问于2021-04-17得票数 0
1回答
我们当前的b2c自定义策略扩展属性(存储权限的位置)仅限于255个字符。因此,我们达到了权限的限制,需要通过Azure B2C自定义策略公开AAD组成员身份。如何定义自定义声明以在令牌中公开当前用户的组成员身份?
浏览 7提问于2022-02-02得票数 0
我正在使用Microsoft为用户设置一个自定义值(字符串)。我尝试过使用open &目录扩展来存储数据,而且在API级别上两者似乎都很好,因为我能够将数据返回给用户。接下来我要做的是将这个扩展的值输入到一个B2C自定义策略声明中。我还没有找到任何文档来显示如何在自定义策略中获取打开扩展的值,即使docs声明它是支持的,所以我尝试使用目录扩展来实现它。&l
浏览 13提问于2022-11-20得票数 2
回答已采纳
我想知道是否可以让Azure AD传递用户的电子邮件地址,并将其作为我们在用户登录时获得的令牌中的声明传递。如果没有,我该如何实现这一点,因为我是B2C新手。
浏览 0提问于2020-07-01得票数 0
1回答
遵循这个示例,我们成功地将Azure AD目录(' AD ')与Azure AD B2C目录('B2C')联合起来,这样我们就可以让社交和自我断言的用户注册一个公共应用程序,我们的工作用户也可以用他们的正常工作在使用B2C保护的应用程序中,我们需要向AD用户展示与他们的工作身份相关的内容(具体来说,我们需要根据他们的工作角色过滤产品),但是我们无法获得这些信息,因为注册应用程序的过程为用户生成了一个新的B
浏览 0提问于2017-11-27得票数 1
回答已采纳
我要寻找的powershell脚本,以创建在b2c的本地帐户用户,以及身份验证方法作为电子邮件。有人能给点建议吗?
浏览 20提问于2021-01-19得票数 0
我在Azure AD B2C中注册了两个应用程序: azure函数应用程序和前端spa应用程序。我从前端应用程序调用azure函数,并使用隐式授权流程。我使用MSAL npm包请求访问令牌。我按照这篇文章为用户设置角色:https://docs.microsoft.com/en-us/azure/active-directory/develop/howto-add-app-roles-in-azure-ad-apps但我在前端应用程序中收到的access_token缺少“
浏览 33提问于2020-07-21得票数 1
回答已采纳
在Azure AD B2C中,当用户单击“忘记/重置”密码时,B2C将用户重定向回依赖方(web应用程序),错误如下:Web (RP)应该读取错误代码,并通过将用户重定向回指定要使用的B2C策略的PasswordReset这是由设计和记录
浏览 2提问于2021-03-02得票数 1
回答已采纳
我有两个声明要存储在目录中,以便我的应用程序使用。用户不能编辑这些文件,但是应用程序可以从令牌中读取这些文件。BuiltIn策略能够检索这些索赔,但是,我使用自定义策略检索这些索赔还没有取得任何成功。阅读文章“在自定义配置文件编辑策略中创建和使用自定义属性”的时,需要将声明添加到RP和TechnicalProfile以从目录中读取</em
浏览 2提问于2017-12-01得票数 2
我有一个Azure Active Directory B2C,我使用内置的SignUpSignIn用户名流,它定义了两个API连接器,一个用于注册,一个用于签名。我试图读取用户正在尝试登录或注册的用户IP地址。 }
但我想我在这里得到的是Azure AD B2C IP地址,而不是用户客户端IP地址。是否
浏览 5提问于2022-04-21得票数 0
我想在Azure AD B2C中存储MFA的电子邮件地址和电话号码,并找到上面的属性。但是,在编写其中一个属性时,另一个属性似乎正在被清除。不幸的是,我在AAD中找到的关于MFA属性的信息很少。
浏览 0提问于2020-02-19得票数 1
是否有任何选项可以通过声明值(如电子邮件地址)或自定义声明(如extension_company_user_id等)读取azure AD B2C租户用户(本地或社交)。实际上我需要下面这样的东西: <TechnicalProfile Id="AAD-UserReadUsingClaimValue">
<Metadata>extension_company_
浏览 7提问于2020-07-29得票数 0
我有一个角应用程序,它是通过AAD B2C认证的。这与使用访问令牌的.Net核心API进行了对话。以下文档说明,up
浏览 2提问于2020-08-26得票数 1
回答已采纳
我希望为用户执行自定义策略,但前提是用户已经通过signup_signin策略登录。我可以使用B2C会话状态吗?如何在B2C期间将声明存储在用户的signup_signin会话中,然后在不同的策略中访问该声明?
浏览 5提问于2022-02-01得票数 0
我们已经配置好通过客户关系管理门户和使用自定义策略到达B2C。在将本地帐户的signin重定向回CRM时,我们得到以下错误
<Metadata>
<I
浏览 0提问于2019-04-29得票数 1
回答已采纳
我正在使用Azure B2C和自定义策略来管理用户并在体验中进行签名。我注意到有一个内置的(不是自定义扩展)属性名companyName,我正在用用户的公司信息更新它。一旦更新了这个值,我就会尝试将其包含在声明中并发送到客户端应用程序,但是我遇到了一个问题。我已经确保在TrustFrameworkBase策略中包含如下声明
<ClaimType Id="companyName&quo
浏览 1提问于2019-12-05得票数 1
我已经在Azure AAD B2C中为交互式登录创建了自定义策略--登录/注册很好--但是现在我在我的B2C通过门户中添加了自定义用户属性,并且更新了我的"extension_UserRole“自定义策略--但是它没有显示在签名和JWT中,下面是我的自定义策略
请提出修改意见
浏览 4提问于2022-08-21得票数 -1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
