Azure B2C：使用自定义声明查询 AAD？

Question

请注意，这与之前的问题有关，但我对使用自定义策略的 Azure Active Directory (AAD) 有了更好的理解。

是否可以使用自定义声明查询 AAD？ 例如，我想使用一个名为 organizationName (extension_organizationName) 的声明来检查它是否已经定义。 如果它已经定义，那么我不想创建帐户。

这是我为确定这一点而编写的索赔提供者：

    <ClaimsProvider>
      <DisplayName>Azure Active Directory</DisplayName>
        <TechnicalProfiles>
        <!--Demo: This technical profile tries to find a local account with provided email address-->
        <TechnicalProfile Id="AAD-UserReadOrganization-NoError">
          <Metadata>
            <Item Key="Operation">Read</Item>
            <Item Key="RaiseErrorIfClaimsPrincipalDoesNotExist">false</Item>
          </Metadata>
          <InputClaims>
            <InputClaim ClaimTypeReferenceId="extension_organizationName" Required="true" />
          </InputClaims>
          <OutputClaims>
            <!-- Required claims -->
            <OutputClaim ClaimTypeReferenceId="tempOrganization"/>
          </OutputClaims>
          <IncludeTechnicalProfile ReferenceId="AAD-Common" />
        </TechnicalProfile>
      </TechnicalProfiles>
    </ClaimsProvider>

但是，我遇到了与之前相同的验证错误，但原因不同：

无法验证提供的信息。

如果我无法查询组织，那么我还能如何检查 AAD 中是否已存在自定义声明值？

Answer 1

正如 Abhishek 所说，您无法使用自定义extension_organizationName声明查询 AAD B2C。 另一种解决方案是通过调用自定义 REST API来检查组织声明是否已经存在于 AAD 中，它通过图表查询 AAD API （与此博客文章中描述的方式类似）。

Answer 2

您不能使用随机声明查询 Azure AD。 您可以仅使用唯一声明进行查询。 来自https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-technical-profile#inputclaims

要读取、更新或删除现有用户帐户，输入声明是唯一标识 Azure AD 目录中的帐户的密钥。 例如，objectId、userPrincipalName、signInNames.emailAddress、signInNames.userName 或 AlternativeSecurityId。

如果您的方案是将组织名称设为唯一，您可以考虑在用户主体名称中添加后缀。 对场景的更好解释可能有助于回答。