【发布时间】:2020-06-10 14:47:36
【问题描述】:
我们有一个函数,在 Azure 应用服务中运行,通过 Easyauth 为托管在 Azure AD B2C 租户中的用户帐户处理经过身份验证的调用。
这些帐户以前是通过 B2C 内置注册和登录政策自助服务的。我们正在转向仅限邀请的模式,并且我们已经根据 Microsoft 示例实施了 B2C SignIn_Only 自定义政策。
我的问题专门针对应用服务配置。在身份验证/授权设置中,我们为我们的功能打开了应用服务身份验证。 “请求未通过身份验证时采取的操作”设置为“允许匿名请求(无操作)”。 Azure Active Directory Provider 使用我们函数的客户端 ID 进行配置,目标受众设置为我们的移动应用程序。 颁发者 URL 设置为:
https://login.microsoftonline.com/{OurTenantName}/v2.0/.well-known/openid-configuration?p={OurBuiltinSignUpSignInPolicy}
使用此配置,使用内置策略登录的用户的请求可以正常工作,但使用自定义策略登录的用户会返回 401 Unauthorized 错误。相反,如果我们将颁发者 URL 更改为指向新的 Signin_Only 自定义策略,则使用新策略登录的用户的请求可以正常工作,但使用内置策略登录会失败并出现 401 错误。
我已经使用 login.microsoft.com 和 {ourtenant}.b2clogin.com 端点进行了尝试,结果相同。我还检查了 JWT 令牌,一切看起来都不错。当然,颁发者是不同的,但包括签名密钥在内的其他一切看起来都是正确的。
是否可以支持用户通过内置策略和自定义策略登录?非常感谢。
【问题讨论】:
-
您还有其他顾虑吗?
标签: azure-functions openid-connect azure-ad-b2c azure-web-app-service