問題タブ [azure-ad-b2c]

Google を使用して Azure AD B2C を実装しています。

個人の Google アカウントでログインすると、次のページでメールアドレスと名前 (名、姓、フルネーム) が入力されます。

作成したばかりの別の Google (テスト) アカウントを使用すると、名前情報が入力されません。これは複数のアカウントで発生し、原因がわかりません。Google アカウントの設定では、氏名が表示され、全員に表示されます。

注: デフォルトのブランディング ページからソースをコピーして作成したカスタム ブランディング ページを使用します。この投稿のように、最初からそれを行う方法が見つかりませんでした: Azure AD B2C Branding - get the email, name info from Google+

これは (おそらく) コーディングの問題ではなく、Google アカウントの問題であることはわかっていますが、ここで回答を得るのが最適だと考えました。

古いフォーム認証サイトを置き換えるために、新しい Azure AD B2C 認証サイトを作成しています。新しいサイトでは、最初にメール アドレスを入力するようユーザーに求めています。これにより、ユーザーが Azure B2C に存在するかどうかを確認して適切なサインイン ページに送信し、存在しない場合は以前の Forms Authenticated サイトに送信できます。

問題は、Microsoft のチュートリアルに従うときに発生することです。ユーザー管理が表示されますが、最初に Azure アカウントでログインする必要があり、構築しようとしているシステムでは明らかにこれは不可能です。私がやっていることは可能ですか？

前もって感謝します！

MS チュートリアル: https://azure.microsoft.com/en-gb/documentation/articles/active-directory-code-samples/

自社の Azure ディレクトリで B2C ユーザー作成を実行しようとしています。参考として、Microsoft のこのサイトと、その中の .DotNet の例を使用します。

https://azure.microsoft.com/en-us/documentation/articles/active-directory-b2c-devquickstarts-graph-dotnet/

例に完全に従うと、認証を受けるところまで到達し、ディレクトリ内の AD ユーザーを抽出できます。これが私が生成したサンプルリクエストです。

GET https://graph.windows.net/mycompany/users?api-version=beta

しかし、ディレクトリにサンプル ユーザーを作成する部分に到達すると、「1 つ以上のプロパティに無効な値が含まれています」というエラー応答が表示されます。

投稿 https://graph.windows.net/mycompany/users?api-version=beta

私が使用したペイロードは次のとおりです。これは、サイトのユーザー作成の例で使用されたペイロードとまったく同じです。これは JSON 形式です。

{"accountEnabled": true,"alternativeSignInNamesInfo": [{"type": "emailAddress", "value": "joeconsumer@gmail.com"}],"creationType": "NameCoexistence", "displayName": "Joe Consumer ", "mailNickname": "joec","passwordProfile": {"password": "P@ssword!","forceChangePasswordNextLogin": false},"passwordPolicies": "DisablePasswordExpiration"}

このペイロードは、Microsoft のユーザー作成要件に基づく要件に準拠しています。また、サイトの例とまったく同じペイロードであるため、プロパティの 1 つに無効な値があるというメッセージを受け取るのは奇妙です。さらに悪いことに、応答はどの値が問題の原因であるかを明示的に示していません。

どんな助けでも大歓迎です。

Azure AD B2C のプレビューでは、アプリケーションを定義できます。次に、各アプリケーションには、名前、クライアント ID、アプリ キー、および Web アプリ/Web API を含めるかどうか、および暗黙的なフローを許可するかどうかを定義するいくつかの設定が与えられます。Azure AD の「古い」世界では、「このアプリケーションはグラフ API にアクセスできる」、「このアプリケーションはこのサービスと通信できる」など、アプリケーション間のやり取りをより細かく制御できましたが、新しい世界ではそうではありません。 (少なくともポータル UI の観点からは) 可能性があるように見えます。私の質問は次のとおりです。Azure AD B2C では、マイクロサービスの数が増加しているインフラストラクチャに対する明らかな制御が欠如していることを考えると、「アプリケーション」を作成することは理にかなっていますか? Azure AD B2C のサービスごと (実際には環境ごと)? または、システム全体で同じアプリケーションを共有する必要があります (したがって、クライアント ID?)。

すべての新しいものを使用して、既存のソリューションをクラウドに書き直そうとしています。

理想的には、私たちが望むアーキテクチャは、WCF サービスに対する SOA 上に構築された MVC5 フロント エンドです。

MVC フロント エンドと WCF サービスを保護するという点では。可能であれば、Azure AD B2C を使用したいと考えています。したがって、ユーザーが MVC フロント エンドにログインすると、関連するクレームがクレーム対応の WCF サービスに渡されます。

誰かがこれが可能かどうかを確認できますか? もしそうなら、AD B2C を使用したクレーム対応 WCF サービスの構成を詳しく説明している文献を指摘してもらえますか? Azure AD B2C を使用して MVC ソリューションをセットアップすることはできましたが、WCF サービスを構成するための同等のソリューションが見つかりません。

Graph API を使用して Active Directory でユーザーを作成すると、一部の文字がユーザー名 (#EXT#) に追加されます。これにより、AD B2C のインターフェイスでユーザーを編集したり (文書化された問題)、ADAL 2.23 (Active Directory Authentication Library) を使用してサインインしたりすることができなくなります。

特に、メソッドunknown_user_typeを使用するとエラー ( ) が発生しますAcquireToken(username, password)。エラーは次のとおりです。

なぜこうなった？この問題の解決策または回避策はありますか?

よろしく。

サインアップ ポリシーを使用してソーシャル ID プロバイダーを使用して B2C ユーザーを作成していますが、この新しいユーザーにいくつかのユーザー属性 (拡張プロパティ) を追加する必要があります。たとえば、ユーザーに「AccountId」を設定します。

サインアップ属性として「AccountId」を追加し、何らかの値を入力すると、グラフ API を介してユーザー プロパティを確認すると、「AccountId」は正しいです。

ただし、この場合、「AccountId」は編集可能またはユーザーに表示されるべきではありません。サインアップポリシーで、サインアップページの非表示フィールドとして、たとえばfacebookで作成されたユーザーに「AccountId」を追加するだけです.

Azure B2C AD を使用する ASP.Net MVC アプリケーションから、この値をサインアップ ページに渡し、サインアップ属性に関連付けることはできますか? パラメーター (&accountid=1234) を介して、または一部の OpenId-propperties から実行できますか?

いくつかのドキュメントに基づいて、B2C セットアップを作成しました。以下のリンクを参考にしました。

https://blogs.technet.microsoft.com/ad/2015/09/16/azure-ad-b2c-and-b2b-are-now-in-public-preview/

だから私はredirect_uriをセットアップしました、例えば、

「https://mycompany.com/login/」

ID プロバイダーとして Google を使用しました。ただし、サインアップ/サインインを行うと、システムはサインアップ/サインイン ページから

「http s://mycompany.com/login/#id_token=eyJ0eXAi...」

B2C から返されたリダイレクト URL には「id_token」変数が含まれており、「http://calebb.net/」で確認すると、含まれている詳細は予想どおりです。

私が抱えている問題は、redirect_uri の後、id_token 変数の前にハッシュ "#" マークがあることです。ハッシュのため、id_token 変数はサーバーに送信されません。これは、ハッシュ マークの後に何も送信しないというブラウザのデフォルトの動作のためです。ハッシュマークはフラグメント識別子です。

したがって、id_token の値を取得できません。

この制限を克服して、サーバー アプリケーションが B2C システムから返された URL から id_token の値を取得できるようにする方法はありますか? それとも、修正が必要な B2C のバグのようなものですか?

Python/Django Web アプリケーションを使用しています。

ありがとう。

認証に AAD を使用する Web アプリがあります。このサンプルに従って ADAL.NET ライブラリを使用して実装しました: https://github.com/Azure-Samples/active-directory-dotnet-webapp-webapi-openidconnect

問題は、Web サイトにログオンして 1 時間以上アイドル状態のままにしておくと、1 時間後にトークンの有効期限が切れるため、Web サイトが正しく機能しなくなることです。

トークンの有効期限を特定し、ユーザーに再認証を求める方法はありますか? 可能であれば、ユーザーの画面をグレー表示し、再認証のオプションを提供しますか?