堆棧內存溢出
  簡體   English   中英

Azure AD B2C 自定義策略繞過或跳過特定電話號碼編排流程

[英]Azure AD B2C Custom Policy Bypass or skip specific phone Number Orchestration flow

 原文  2022-06-14 12:18:19       azure/ azure-ad-b2c

問題描述

我們正在使用 Azure AD B2C 電話號碼 OTP 身份驗證流程,因此我們需要運行自動化測試,因為我們需要跳過 OTP 驗證步驟。 下面是 B2C_1A_PH_SUSI 文件代碼。

<UserJourney Id="PhoneSignInUp">
  <OrchestrationSteps>
    <!--
       Ask the user for the phone number. 
       The ValidationTechnicalProfile tries to read the user from the directory using the phone number
    -->
    <OrchestrationStep Order="1" Type="ClaimsExchange">
      <ClaimsExchanges>
        <ClaimsExchange Id="SignIn" TechnicalProfileReferenceId="SelfAsserted-LocalAccountSignin-Username" />
      </ClaimsExchanges>
    </OrchestrationStep>
    <!-- 
      Verify the phone number via SMS or Callback
     -->
    <OrchestrationStep Order="2" Type="ClaimsExchange">
      <Preconditions>
        <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
          <Value>isActiveMFASession</Value>
          <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
      <ClaimsExchanges>
        <ClaimsExchange Id="PhoneFactor-Verify" TechnicalProfileReferenceId="PhoneFactor-InputOrVerify-PhoneLogon" />
      </ClaimsExchanges>
    </OrchestrationStep>
    <!-- 
      If the user didn't exist previously, create the object in the directory
    -->
    <OrchestrationStep Order="3" Type="ClaimsExchange">
      <Preconditions>
        <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
          <Value>objectId</Value>
          <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
      </Preconditions>
      <ClaimsExchanges>
        <ClaimsExchange Id="AADUserWriteUser" TechnicalProfileReferenceId="AAD-UserWriteUsingPhoneNumber" />
      </ClaimsExchanges>
    </OrchestrationStep>
    <!--
      return the JWT token
    -->
    <OrchestrationStep Order="4" Type="SendClaims" CpimIssuerTechnicalProfileReferenceId="JwtIssuer" />
  </OrchestrationSteps>
  <ClientDefinition ReferenceId="DefaultWeb" />
</UserJourney>

2 個解決方案

解決方案1
 0  2022-06-14 20:55:23

據推測,對於自動化測試,您正在使用 ROPC 來登錄用戶?

在這種情況下,在 PhoneFactor 周圍添加一個先決條件以檢查 ROPC 用戶並跳過該步驟。

只需給用戶一個“奇怪的”登錄名 - 很多 q/z/x 等 :-) 很難猜測安全性。

解決方案2
 0  2022-06-15 10:31:07

我找到了一種通過添加前提條件<Value>+91xxxxxxxx</Value>塊來繞過 OTP 的方法

<!-- 
      Verify the phone number via SMS or Callback
     -->
    <OrchestrationStep Order="2" Type="ClaimsExchange">
      <Preconditions>
        <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
          <Value>isActiveMFASession</Value>
          <Action>SkipThisOrchestrationStep</Action>
        </Precondition>
        

        <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
          <Value>signinnames.phoneNumber</Value>
          <Value>+91xxxxxxxx</Value>
          <Action>SkipThisOrchestrationStep</Action>
        </Precondition>

     </Preconditions>
      <ClaimsExchanges>
        <ClaimsExchange Id="PhoneFactor-Verify" TechnicalProfileReferenceId="PhoneFactor-InputOrVerify-PhoneLogon" />
      </ClaimsExchanges>
    </OrchestrationStep>

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Azure自定義策略B2C - 業務流程步驟 在自定義策略中更改 azure ad b2c 的背景圖像 用於啟用/禁用 MFA 的 Azure AD B2C 自定義策略 自定義策略的 Azure AD B2C UI 自定義 Azure AD B2C 自定義策略語言翻譯 Azure AD B2C Custom Policy 錯誤信息定制 Azure AD B2C 自定義策略 + Application Insights Azure AD B2C 無密碼登錄自定義策略 Azure AD B2C自定義登錄策略顯示SignUpSignIn Azure AD B2C 自定義策略 - 動態綁定 MultiCheckbox
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM