Azure AD B2C - 自定义策略中的“电子邮件”声明

【问题标题】:Azure AD B2C - "emails" claim in custom policyAzure AD B2C - 自定义策略中的“电子邮件”声明
【发布时间】:2018-03-28 10:27:46
【问题描述】:

我正在寻找一种将emails 声明(电子邮件收集)添加到 Azure AD B2C 自定义策略的方法。此应用程序声明可直接从 Azure 门户获得,但我找不到在需要创建的自定义策略中实现此功能的方法。

我想要实现的是为我的 WebApp 用户提供 Azure AD B2C 身份验证,并将 Azure AD 身份验证作为员工的自定义身份验证提供程序,因此这意味着我需要添加两次 emails 声明 - 用于本地帐户和 Azure AD .

我关注了this guide to make custom policy,所以我在 TrustFrameworkExtensions.xml 文件中添加了一个新的ClaimsProvider

当我下载在 Azure 门户中创建的注册和登录策略时,我可以看到以下输出声明:

<OutputClaim ClaimTypeReferenceId="emails" />

我尝试将该行添加到我的自定义策略中,但它没有返回 emails 声明。

有什么想法吗?

【问题讨论】:

  • 在将电子邮件地址放入令牌之前,您尝试从哪里获取电子邮件地址?它是一个 Rest API,还是只是一个本地帐户登录?如果您有新的技术资料,那么最好在问题中添加它。否则,请提及入门包和您的场景。
  • 这个帖子不行,this 一个可以。

标签: azure-ad-b2c identity-experience-framework


【解决方案1】:

我采取了更简单的方法,只是在 SignInSignUp.xml 中添加了以下输出声明(我保留了现有的 email 输出声明,无论如何都会被填充仅用于社交登录)

<OutputClaim ClaimTypeReferenceId="signInNames.emailAddress" PartnerClaimType="email" />

【讨论】:

  • 这对我没有任何作用,还有更多要补充的吗?
  • 这适用于谷歌、脸书。但苹果将电子邮件声明作为电子邮件发送。
【解决方案2】:

我也找不到这个答案 - 看起来“电子邮件”声明是由自定义 OutputClaimsTransformation 返回的,其配置在示例中不可用。

我确实在 SO 上找到了这个答案,这有帮助,但它涵盖了为新用户更新的“otherMails”声明,并且我的现有用户使用了我无法以这种方式更新的基本政策。

似乎通过连接“otherMails”(在社交注册的情况下)与“signInNames”数组中的第一个条目来填充电子邮件。

我最终执行了以下操作来动态创建“电子邮件”声明。

在 TrustFrameworkExtensions.xml 中创建两个新的 ClaimType

  <ClaimType Id="emails">
    <DisplayName>Emails</DisplayName>
    <DataType>stringCollection</DataType>
    <UserHelpText>User's email addresses</UserHelpText>
  </ClaimType>

 <ClaimType Id="firstOtherMail">
    <DisplayName>First Other mail</DisplayName>
    <DataType>string</DataType>
    <UserHelpText>Other Mail</UserHelpText>
  </ClaimType>

在 TrustFrameworkExtensions.xml 中创建 3 个新的 ClaimsTransformations

<ClaimsTransformation Id="GetFirstOtherMail" TransformationMethod="GetSingleItemFromStringCollection">
    <InputClaims>
      <InputClaim ClaimTypeReferenceId="otherMails" TransformationClaimType="collection" />
    </InputClaims>
    <OutputClaims>
      <OutputClaim ClaimTypeReferenceId="firstOtherMail" TransformationClaimType="extractedItem" />
    </OutputClaims>
  </ClaimsTransformation>

  <ClaimsTransformation Id="CopyFirstOtherMailToEmail" TransformationMethod="AddItemToStringCollection">
    <InputClaims>
      <InputClaim ClaimTypeReferenceId="firstOtherMail" TransformationClaimType="item" />
      <InputClaim ClaimTypeReferenceId="emails" TransformationClaimType="collection" />
    </InputClaims>
    <OutputClaims>
      <OutputClaim ClaimTypeReferenceId="emails" TransformationClaimType="collection" />
    </OutputClaims>
  </ClaimsTransformation>

  <ClaimsTransformation Id="CopySignInNamesEmailToEmails" TransformationMethod="AddItemToStringCollection">
    <InputClaims>
      <InputClaim ClaimTypeReferenceId="signInNames.emailAddress" TransformationClaimType="item" />
      <InputClaim ClaimTypeReferenceId="emails" TransformationClaimType="collection" />
    </InputClaims>
    <OutputClaims>
      <OutputClaim ClaimTypeReferenceId="emails" TransformationClaimType="collection" />
    </OutputClaims>
  </ClaimsTransformation>

在 TrustFrameworkExtensions.xml 中创建一个新的 TechnicalProfile:

<!-- The following technical profile is used to create the emails collection after user authenticates. -->
    <TechnicalProfile Id="AAD-UserCreateEmailsClaim">
      <Metadata>
        <Item Key="Operation">Read</Item>
        <Item Key="RaiseErrorIfClaimsPrincipalDoesNotExist">true</Item>
      </Metadata>
      <IncludeInSso>false</IncludeInSso>
      <InputClaims>
        <InputClaim ClaimTypeReferenceId="objectId" Required="true" />
      </InputClaims>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="emails" />           
      </OutputClaims>
      <OutputClaimsTransformations>
        <OutputClaimsTransformation ReferenceId="GetFirstOtherMail"/>
        <OutputClaimsTransformation ReferenceId="CopySignInNamesEmailToEmails"/>
        <OutputClaimsTransformation ReferenceId="CopyFirstOtherMailToEmail"/>
      </OutputClaimsTransformations>
      <IncludeTechnicalProfile ReferenceId="AAD-Common" />
    </TechnicalProfile>

在 SignUpOrSignIn 的最后一步 (SendClaims) 之前向 SignUpOrSignIn UserJourney 添加一个新的 OrchestrationStep

    <OrchestrationStep Order="8" Type="ClaimsExchange">
      <ClaimsExchanges>
        <!-- create the emails claim combining signInNames and otherMails -->
        <ClaimsExchange Id="AADUserCreateEmailsClaim" TechnicalProfileReferenceId="AAD-UserCreateEmailsClaim" />
      </ClaimsExchanges>
    </OrchestrationStep>


    <OrchestrationStep Order="9" Type="SendClaims" CpimIssuerTechnicalProfileReferenceId="JwtIssuer" />

编辑 PolicyProfile TechnicalProfile 并添加 OutputClaim:

 <OutputClaim ClaimTypeReferenceId="emails" />

【讨论】:

  • 你是一个救生员!
  • Policy "..." of tenant "..." 引用了 ID 为 "firstOtherMail" 的 ClaimType 但该策略及其任何基本策略均不包含此类元素...跨度>
  • 抱歉,我错过了那个 - 请参阅修改后的答案。
  • @RNDThoughts 这不适用于多租户 Azure Active Directory 与 B2C 的集成。你知道为什么吗?
  • @RNDThoughts 感谢您提供清晰准确的答案。就我而言,SignInSignUp.xml 自定义策略在上传时抛出错误。实际上,用户对象中不存在“电子邮件”声明。因此,按照以下方式更新技术配置文件:stackoverflow.com/questions/56194593/… 帮助了我
猜你喜欢
  • 2020-04-27
  • 2020-06-03
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2023-03-10
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode