問題タブ [azure-ad-b2c]

開発中、チームはローカル データベースとローカル IIS Express Web サーバーに対して開発することを好みます。

Azure AD B2C アプリケーション構成でhttp://localhost:<port>/のアドレスをリターン URI として構成しようとしましたが、これは許可されていません (技術的には機能するはずですが、そうでない理由はわかります)許可されています）。したがって、現時点では、誰かがサインインすると、テスト サーバーの URL に戻ります。

ローカルの開発サーバー インスタンスに戻りたいと考えています。これを達成するために人々が知っている方法はありますか？

Azure AD B2C でのアカウントと認証の価格についていくつか質問がありますが、それらはスクリプト DOS 攻撃に対する懸念を中心に展開しています。

価格ページ: https://azure.microsoft.com/en-us/pricing/details/active-directory-b2c/

Azure では、アカウントの作成時に、テキスト メッセージまたは電話による電子メールと多要素認証の両方が提供されます。

電子メールの検証は、認証試行の基本料金に含まれています。毎月最初の 5 万回の認証は無料です。これには、サインイン認証、アカウント/パスワードの回復、サインアップが含まれると思います。多要素認証 (テキスト メッセージまたは電話) はオプションで、認証ごとに 0.03 ドルの定額料金 (景品なし) です。

私が 100% はっきりしていないのは、認証と見なされるものです。料金は試行ごとに発生しますか、それともトークンが発行された認証の成功に対してのみ発生しますか? 与えられた定義を考慮すると、後者（成功してトークンが発行された）である可能性があると思います：

Authentications : ユーザーによって開始されたサインイン要求に応答して発行されたトークン、またはユーザーに代わってアプリケーションによって開始されたトークン (更新間隔が構成可能なトークンの更新など)。

では、攻撃者が認証を試みて失敗した場合、試行ごとに料金が発生しますか? マルチファクターでも同じですか？

攻撃者が十分な動機を持っている場合、確認コードを受信して​​解析し、それらを使用して多数の詐欺アカウントを作成するために、独自の電子メールおよび SMS システムをセットアップする可能性があります。攻撃者が認証を回避して何百万ものアカウントを作成した場合、それらのアカウントと認証に対して課金されることになりますか?

不完全または非アクティブなアカウントを定期的に削除するスケジュールされたタスクがあるかどうかは重要ですか?

シナリオ:

1. 7 月 4 日に 100 万件の不正アカウントが作成されましたが、7 月 5 日の午前 1 時までにグラフ API を使用してそれらを見つけて削除しました。
2. 請求は月初に行われます。請求サイクルの最終日に攻撃者が 1,000,000 のアカウントを作成しましたが、間に合いませんでした。

最近、プログラムで Azure AD B2C (プレビュー) インスタンスにユーザーを作成しようとしています。私を妨げている部分は、単にトークンを取得しようとしていることです。これまでのところ、私は試しました：

実行が最後の行に達してトークンを取得しようとすると、次のようになります。

Microsoft.IdentityModel.Clients.ActiveDirectory.AdalServiceException: AADSTS70001: アプリケーション 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx' は、この API バージョンではサポートされていません。

このエラーから何を推測できますか? Azure AD B2C の Graph アクセスが一時的に削除されたということですか? または、何かを有効にする必要がありますか? または、エンドポイント URL の 1 つが間違っていますか?

AspNetCore RC2 MVC アプリケーションで認証するために Azure AD B2C を使用しています。これは、認証が必要なアクションに移動すると、それに応じて B2C ログイン ページにリダイレクトされるという点で部分的に機能します。ログインに成功すると、アプリケーション ページに正しくリダイレ​​クトされます (クエリ パラメータで適切に指定された id_token フィールドを確認できます)。残念ながら、パイプライン認証ミドルウェアはリダイレクト クエリ パラメータを正しく処理していないようで、すぐにログイン ページにリダイレクトされます。誰でもアドバイスできますか？

私が使用しているコードは以下のとおりです。

このソリューションは、サンプル コード (GitHub で公開) を使用して開発されました --> https://github.com/AzureAD/passport-azure-ad/tree/master/examples/login-oidc-b2c

Passport-azure-ad (Node JS Web App --> https://azure.microsoft.com/en-us/documentation/articles/active-directory-b2c-devquickstarts-web-node/ ) でサインインしたい場合)、Node JS 出力 (端末上) は次のように述べています。

WARN: AzureAD: OIDC Passport Strategy/14580 on Llorenç-PC: We are not validating the issuer. This is fine if you are expecting multiple organizations to connect to your app. Otherwise you should validate the issuer.

どうすれば修正できますか？

一方、ユーザー配列のユーザー情報/クレームを取得するにはどうすればよいでしょうか?

私たちのシステム管理者は、ユーザーを検索し、サインアップ時に収集/要求する名前と姓でユーザーを識別できるようにしたいと考えています。

ユーザーがアカウントを作成するときに「表示名」の値を指定することは許可されていません。

管理ポータルは、[ユーザー] ペインに表示される 3 つの列の 1 つとして [表示名] を使用します。

システム管理者がユーザー管理ポータルで姓と名に指定された値を確認して、正しいアカウントを識別できると便利です。

キーワードを入力できるフィルター/検索があることは知っています。実際、名前または姓が一致するアカウントを検索しますが、その名前が「ユーザー名」(設定されている) に表示されない場合一致することを確認するのは困難です。

新しいアカウントからの接続を受信したときにグラフ API を使用して表示名を更新するコードを作成することもできますが、それは避けたいと思います。

B2C アカウントを作成したユーザーのリストを表示するときに、「名」+「姓」の値を使用するように表示名を構成することはできますか?

または、「表示名」と同様に、またはその代わりに、他の属性を列として表示することは可能ですか?

MVC 6 .NET Core Web サイトを Azure B2C で動作させるのに時間を費やしましたが、すべてうまく機能しているようです。ただし、正しい戦略を理解できないように見えるという主張を取り巻くいくつかの疑問があります.

ユーザーが私のサイトに電子メール、名、姓でサインアップしたとします。登録が完了したら、このユーザーを参照するデータベースの UserProfile テーブルにレコードを追加したいと考えています。

質問 1: Azure B2C で "UserProfileId" クレームを作成する必要がありますか? または、AD ユーザーを参照するデータベース テーブルに「ObjectId」フィールドを作成する必要がありますか? もっと意味のあることは何ですか？

質問 2: ユーザーが登録したら、どこでどのように AD ユーザー クレームを更新しますか? これらのイベントのいずれかでそれを行いますか? それとも別の場所ですか？確認できる「ユーザーは新規です」というクレームがありますか?

質問 3: クレームを更新するには、Microsoft.Azure.ActiveDirectory.GraphClient を使用しますか? カスタム クレームを更新する方法のサンプル コードはありますか? 私はこれを試しましたが、持続していないようです:

これが私の認証設定です。ありがとう！！！！！