是否可以將組從聯合AD傳遞到B2C到Azure AD B2C

Question

我有一個在B2C上運行的應用程序，作為我們與客戶廣告聯盟的客戶部署的一部分，以便他們可以使用自己的公司身份登錄。

然后，我們在B2C中創建匹配組以控制應用程序中的行為。

我們要求客戶希望在其廣告中創建組，然后將其傳遞出去，以便他們可以在一個位置管理用戶和訪問。

我可以看到如何在設置用戶流時添加所需的聲明，但是看不到組的任何選項。 是否可以做或必須查詢外部AD（與查詢B2C目錄中的組的方式匹配）

謝謝

Answer 1

盡管在技術上可行，但我也質疑這樣做的好處。 我將嘗試簡要描述這在技術上將如何工作。 如果不清楚-我將不得不在Github上進行總結。 這只能使用自定義策略來實現。 因此，您必須遵循： https : //docs.microsoft.com/zh-cn/azure/active-directory-b2c/active-directory-technical-profile

1. 在聯合AAD中編輯應用程序注冊的清單。 在這里，您必須指出您需要組成員身份聲明：

    "groupMembershipClaims": "All", 

2. 通過添加新的聲明來擴展自定義策略擴展中的聲明架構：

  <ClaimsSchema> <ClaimType Id="idpGroupMemberships"> <DisplayName>Group Memberships in the IdP</DisplayName> <DataType>stringCollection</DataType> <UserHelpText>This is read only for the user</UserHelpText> </ClaimType> </ClaimsSchema> 

3. 在技​​術資料的后面，將傳入的組聲明復制到輸出聲明中：

 <OutputClaims> ... <OutputClaim ClaimTypeReferenceId="idpGroupMemberships" PartnerClaimType="groups" /> </OutputClaims> 

4. 最后，您必須將該新要求包括在您的依賴方政策中：

  <RelyingParty> <DefaultUserJourney ReferenceId="SuSiLocalFbStaykovNet" /> <TechnicalProfile Id="PolicyProfile"> <DisplayName>PolicyProfile</DisplayName> <Protocol Name="OpenIdConnect" /> <OutputClaims> ... <OutputClaim ClaimTypeReferenceId="idpGroupMemberships" /> </OutputClaims> <SubjectNamingInfo ClaimType="sub" /> </TechnicalProfile> </RelyingParty> 

使用這種方法，您將獲得作為GUID的組（這些將是聯合AAD中組的對象ID）。 如果要獲取組的名稱而不是GUID，則僅部分支持它，而且更復雜。 在此處查看此文檔： https : //docs.microsoft.com/zh-cn/azure/active-directory/hybrid/how-to-connect-fed-group-claims#configure-the-azure-ad-application-登記換基團的屬性