[英]Is it possible to pass groups to B2C from federated AD to Azure AD B2C
我有一個在B2C上運行的應用程序,作為我們與客戶廣告聯盟的客戶部署的一部分,以便他們可以使用自己的公司身份登錄。
然后,我們在B2C中創建匹配組以控制應用程序中的行為。
我們要求客戶希望在其廣告中創建組,然后將其傳遞出去,以便他們可以在一個位置管理用戶和訪問。
我可以看到如何在設置用戶流時添加所需的聲明,但是看不到組的任何選項。 是否可以做或必須查詢外部AD(與查詢B2C目錄中的組的方式匹配)
謝謝
盡管在技術上可行,但我也質疑這樣做的好處。 我將嘗試簡要描述這在技術上將如何工作。 如果不清楚-我將不得不在Github上進行總結。 這只能使用自定義策略來實現。 因此,您必須遵循: https : //docs.microsoft.com/zh-cn/azure/active-directory-b2c/active-directory-technical-profile
在聯合AAD中編輯應用程序注冊的清單。 在這里,您必須指出您需要組成員身份聲明:
"groupMembershipClaims": "All",
通過添加新的聲明來擴展自定義策略擴展中的聲明架構:
<ClaimsSchema> <ClaimType Id="idpGroupMemberships"> <DisplayName>Group Memberships in the IdP</DisplayName> <DataType>stringCollection</DataType> <UserHelpText>This is read only for the user</UserHelpText> </ClaimType> </ClaimsSchema>
<OutputClaims> ... <OutputClaim ClaimTypeReferenceId="idpGroupMemberships" PartnerClaimType="groups" /> </OutputClaims>
<RelyingParty> <DefaultUserJourney ReferenceId="SuSiLocalFbStaykovNet" /> <TechnicalProfile Id="PolicyProfile"> <DisplayName>PolicyProfile</DisplayName> <Protocol Name="OpenIdConnect" /> <OutputClaims> ... <OutputClaim ClaimTypeReferenceId="idpGroupMemberships" /> </OutputClaims> <SubjectNamingInfo ClaimType="sub" /> </TechnicalProfile> </RelyingParty>
使用這種方法,您將獲得作為GUID的組(這些將是聯合AAD中組的對象ID)。 如果要獲取組的名稱而不是GUID,則僅部分支持它,而且更復雜。 在此處查看此文檔: https : //docs.microsoft.com/zh-cn/azure/active-directory/hybrid/how-to-connect-fed-group-claims#configure-the-azure-ad-application-登記換基團的屬性
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.