在 Azure AD 中创建用户之前,是否可以使用 Azure B2C 自定义策略验证来自社会身份提供者 (iDP) 的 Email 声明?
[英]Is it possible to validate the Email claim from Social Identity Providers (iDPs) using Azure B2C custom policy before creating a User in Azure AD?
问题描述
场景是这样的:我们已将 Microsoft iDP 添加到我们的应用程序中。 用户可以单击 Microsoft 帐户按钮并使用其 MSA 帐户进行注册\登录。
当用户注册时,我们希望根据我们的数据库验证电子邮件。 如果用户的 email 在我们的数据库中,让他们继续注册; 否则我们想阻止他们注册并显示错误消息。 这将阻止在我们的 Azure B2C AD 中创建用户。
我使用了以下TechnicalProfile :
<TechnicalProfile Id="REST-ValidateEmail">
<DisplayName>Validate Membership Email</DisplayName>
<Protocol Name="Proprietary"
Handler="Web.TPEngine.Providers.RestfulProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
<Metadata>
<Item Key="ServiceUrl">{Settings:AzureAppServiceUrl}/api/User/ValidateEmail</Item>
<Item Key="AuthenticationType">None</Item>
<Item Key="SendClaimsIn">Body</Item>
</Metadata>
<InputClaims>
<InputClaim ClaimTypeReferenceId="email"
PartnerClaimType="UserEmail" />
</InputClaims>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-Noop" />
</TechnicalProfile>
然后将REST-ValidateEmail添加到LocalAccountSignUpWithLogonEmail作为验证技术配置文件。
<ClaimsProvider>
<DisplayName>Local Account</DisplayName>
<TechnicalProfiles>
<TechnicalProfile Id="LocalAccountSignUpWithLogonEmail">
<Metadata>
<!--Demo: disable the email validation in development environment-->
<!--Demo action required: remove in production environment-->
<Item Key="EnforceEmailVerification">False</Item>
</Metadata>
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="extension_MembershipEmail"
PartnerClaimType="UserEmail" />
</OutputClaims>
<ValidationTechnicalProfiles>
<ValidationTechnicalProfile ReferenceId="REST-ValidateEmail" />
<ValidationTechnicalProfile ReferenceId="AAD-UserWriteUsingLogonEmail" />
</ValidationTechnicalProfiles>
</TechnicalProfile>
</TechnicalProfiles>
</ClaimsProvider>
将 Application Insights 调试添加到自定义策略。 我看到 UserJourney(s) 正在登录 Azure 门户。 但是,无论我做什么,我都看不到来自我编写的 REST API 验证方法的trace日志,也没有调用REST-ValidateEmail 。 看起来它根本没有被调用。
从这个评论:
这个从我的自定义策略中调用外部 API 的技巧不起作用,因为我们无法拦截来自社交媒体的登录\注册调用。 I tried creating a REST API that will take email as an input claim in my custom policy(TrustFrameworkExtensions) and further hit Graph API to check that this email exists in B2C or not will work only for local accounts and not for social media accounts.
如果这是真的,我试图让这种情况发挥作用的尝试将不会蓬勃发展。
这个评论成立吗? 如果是,在使用 3rd 方 iDP 时,是否有其他方法可以拦截登录\注册操作?
注1:
探索更多的TrustFrameworkBase.xml文件我看到了这个技术简介SelfAsserted-Social 。 我想我将不得不使用它而不是LocalAccountSignUpWithLogonEmail 。
1 个解决方案
解决方案1
0 已采纳 2019-10-07 21:37:05
是的,注意 1我在上面的问题中添加的是 go 的方式。
刚刚使用SelfAsserted-Social技术配置文件而不是LocalAccountSignUpWithLogonEmail测试了该场景。
它起作用了,并且按预期调用了 rest API。 我可以在应用服务的日志 stream 中看到尝试的痕迹和电子邮件。
提供无效电子邮件时,用户可以看到从自定义验证端点返回的错误消息。
这是TrustFrameworkExtensions.xml中覆盖\补充的技术配置文件:
<ClaimsProvider>
<DisplayName>Self Asserted</DisplayName>
<TechnicalProfiles>
<TechnicalProfile Id="SelfAsserted-Social">
<ValidationTechnicalProfiles>
<ValidationTechnicalProfile ReferenceId="REST-ValidateEmail" />
</ValidationTechnicalProfiles>
</TechnicalProfile>
</TechnicalProfiles>
</ClaimsProvider>
在 Azure B2C 社交注册 [api.selfasserted] 验证期间显示的 verifying_blurb 文本留在屏幕上
[英]verifying_blurb text displayed during Azure B2C Social Sign up [api.selfasserted] validation stays on screen
是否可以在 Azure Functions 中的每个函数开始运行之前运行代码?
[英]Is it possible to run code before every function starts running in Azure Functions?
是否可以使用 pydantic 库来验证 python http 触发器 Azure ZC1C4145268E683945D 的输入体
[英]Is it possible to use pydantic library to validate the input body of python http trigger Azure function
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
如何将电子邮件建议传递到Azure AD B2C注册页面
在 Azure B2C 社交注册 [api.selfasserted] 验证期间显示的 verifying_blurb 文本留在屏幕上
Azure B2C 注册流程密码验证缺少失败文本
Azure APIM 验证-内容入站策略,验证请求正文
验证用户输入的Java中的社会保险号
是否可以在 Azure Functions 中的每个函数开始运行之前运行代码?
是否可以对自定义方法进行验证?
在提交给自定义操作网址之前使用PHP验证表单
在创建父级之前验证子级
是否可以使用 pydantic 库来验证 python http 触发器 Azure ZC1C4145268E683945D 的输入体
相关标签