堆栈内存溢出
  繁体   English   中英

Azure AD B2C 自定义策略绕过或跳过特定电话号码编排流程

[英]Azure AD B2C Custom Policy Bypass or skip specific phone Number Orchestration flow

 原文  2022-06-14 12:18:19       azure/ azure-ad-b2c

问题描述

我们正在使用 Azure AD B2C 电话号码 OTP 身份验证流程,因此我们需要运行自动化测试,因为我们需要跳过 OTP 验证步骤。 下面是 B2C_1A_PH_SUSI 文件代码。

<UserJourney Id="PhoneSignInUp">
  <OrchestrationSteps>
    <!--
       Ask the user for the phone number. 
       The ValidationTechnicalProfile tries to read the user from the directory using the phone number
    -->
    <OrchestrationStep Order="1" Type="ClaimsExchange">
      <ClaimsExchanges>
        <ClaimsExchange Id="SignIn" TechnicalProfileReferenceId="SelfAsserted-LocalAccountSignin-Username" />
      </ClaimsExchanges>
    </OrchestrationStep>
    <!-- 
      Verify the phone number via SMS or Callback
     -->
    <OrchestrationStep Order="2" Type="ClaimsExchange">
      <Preconditions>
        <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
          <Value>isActiveMFASession</Value>
          <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
      <ClaimsExchanges>
        <ClaimsExchange Id="PhoneFactor-Verify" TechnicalProfileReferenceId="PhoneFactor-InputOrVerify-PhoneLogon" />
      </ClaimsExchanges>
    </OrchestrationStep>
    <!-- 
      If the user didn't exist previously, create the object in the directory
    -->
    <OrchestrationStep Order="3" Type="ClaimsExchange">
      <Preconditions>
        <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
          <Value>objectId</Value>
          <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
      </Preconditions>
      <ClaimsExchanges>
        <ClaimsExchange Id="AADUserWriteUser" TechnicalProfileReferenceId="AAD-UserWriteUsingPhoneNumber" />
      </ClaimsExchanges>
    </OrchestrationStep>
    <!--
      return the JWT token
    -->
    <OrchestrationStep Order="4" Type="SendClaims" CpimIssuerTechnicalProfileReferenceId="JwtIssuer" />
  </OrchestrationSteps>
  <ClientDefinition ReferenceId="DefaultWeb" />
</UserJourney>

2 个解决方案

解决方案1
 0  2022-06-14 20:55:23

据推测,对于自动化测试,您正在使用 ROPC 来登录用户?

在这种情况下,在 PhoneFactor 周围添加一个先决条件以检查 ROPC 用户并跳过该步骤。

只需给用户一个“奇怪的”登录名 - 很多 q/z/x 等 :-) 很难猜测安全性。

解决方案2
 0  2022-06-15 10:31:07

我找到了一种通过添加前提条件<Value>+91xxxxxxxx</Value>块来绕过 OTP 的方法

<!-- 
      Verify the phone number via SMS or Callback
     -->
    <OrchestrationStep Order="2" Type="ClaimsExchange">
      <Preconditions>
        <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
          <Value>isActiveMFASession</Value>
          <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
        

        <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
          <Value>signinnames.phoneNumber</Value>
          <Value>+91xxxxxxxx</Value>
          <Action>SkipThisOrchestrationStep</Action>
        </Precondition>

     </Preconditions>
      <ClaimsExchanges>
        <ClaimsExchange Id="PhoneFactor-Verify" TechnicalProfileReferenceId="PhoneFactor-InputOrVerify-PhoneLogon" />
      </ClaimsExchanges>
    </OrchestrationStep>

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Azure自定义策略B2C - 业务流程步骤 在自定义策略中更改 azure ad b2c 的背景图像 用于启用/禁用 MFA 的 Azure AD B2C 自定义策略 自定义策略的 Azure AD B2C UI 自定义 Azure AD B2C 自定义策略语言翻译 Azure AD B2C Custom Policy 错误信息定制 Azure AD B2C 自定义策略 + Application Insights Azure AD B2C 无密码登录自定义策略 Azure AD B2C自定义登录策略显示SignUpSignIn Azure AD B2C 自定义策略 - 动态绑定 MultiCheckbox
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM