在联合Azure AD B2C注册自定义策略流上获取UPN的问题 [英] Issue with getting UPN on a federated Azure AD B2C sign-up custom policy flow

问题描述

如果我使用内置注册策略将Azure AD作为IDP添加到B2C，并使用现有的Azure AD用户(即联盟)进行注册，则B2C上的&q；占位符&具有"；Federated Azure Active Directory&的来源。注册用户具有UPN。

我似乎无法使用该用户名的自定义登录策略登录到B2C？

它显示&Quot；帐户不存在。请报名参加。我想你不能混合搭配内置和定制？

我必须使用自定义策略进行注册和登录才能使登录生效。

在这种情况下，"；占位符"；的来源是"；Other"；。

问题是此注册用户没有UPN。

有没有办法获得UPN？

还是这是故意的？

推荐答案

原因是用户流中使用的颁发者与自定义策略不同。

如果您通过MS Graph(测试版)返回用户，请将通过自定义策略注册的用户的身份数组与用户流(针对AAD)进行比较。发行商将有所不同(login.microsoftonline.com与sts.windows.net)。Issuer和AAD OBJECTID的组合用于创建和定位用户。 由于不匹配，使用用户流通过AAD联盟注册的用户无法通过自定义策略登录，将找不到帐户。

通过分析用户上的Identity对象，您可以获取使用User Flow创建的帐户的Issuer属性的值，并将其插入您的AAD自定义策略技术配置文件中，以获得名为"IdentityProvider"的声明。

更改此设置

<OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />

至

<OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="ISSUER FROM USER FLOW USER" />

https://docs.microsoft.com/en-us/azure/active-directory-b2c/identity-provider-azure-ad-single-tenant?pivots=b2c-custom-policy#configure-azure-ad-as-an-identity-provider-1

这篇关于在联合Azure AD B2C注册自定义策略流上获取UPN的问题的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！