问题标签 [azure-ad-b2c]

在开发过程中，团队更喜欢针对本地数据库和本地 IIS Express Web 服务器进行开发。

我们尝试在 Azure AD B2C 应用程序配置中将http://localhost:<port>/的地址配置为返回 URI，但这是不允许的（从技术上讲，它应该可以工作，尽管我知道为什么它不是允许）。所以目前，当任何人登录时，它会将他们返回到测试服务器 URL。

我们希望返回到我们的本地开发服务器实例。人们知道有什么方法可以实现这一目标吗？

关于 Azure AD B2C 帐户和身份验证的定价，我有几个问题，它们围绕着对脚本化 DOS 攻击的关注。

定价页面：https ://azure.microsoft.com/en-us/pricing/details/active-directory-b2c/

Azure 在创建帐户时通过短信或电话提供电子邮件和多因素身份验证。

电子邮件验证包含在身份验证尝试的基本价格中。每月前 50k 次身份验证是免费的。我相信这包括登录身份验证、帐户/密码恢复和注册。多因素身份验证（短信或电话）是可选的，每次身份验证的统一费率为 0.03 美元（无免费赠品）。

我不是 100% 清楚的是，什么才是身份验证。每次尝试都会收费，还是仅针对颁发令牌的成功身份验证收费？考虑到给出的定义，我认为可能是后者（成功并发行了令牌）：

身份验证：响应用户发起的登录请求或应用程序代表用户发起的令牌（例如，令牌刷新，刷新间隔是可配置的）。

因此，如果攻击者尝试进行身份验证但失败了，我们会为每次尝试收费吗？多因素也一样吗？

如果攻击者有足够的动机，可以想象她可以设置自己的电子邮件和短信系统来接收和解析验证码，并利用它们创建大量的欺诈账户。如果攻击者绕过身份验证并创建数百万个帐户，我们最终还会为这些帐户和身份验证付费吗？

我们是否有一个定期删除不完整或非活动帐户的计划任务是否重要？

场景：

1. 7 月 4 日创建了 1,000,000 个欺诈帐户，但我们在 7 月 5 日凌晨 1:00 之前通过图形 API 找到并删除了它们。
2. 我们在每月的第一天收费。攻击者在我们计费周期的最后一天创建了 1,000,000 个帐户，而我们没有及时发现。

我最近试图以编程方式在我的 Azure AD B2C（预览版）实例中创建一个用户。阻碍我的部分只是试图检索令牌。到目前为止，我已经尝试过：

当执行到达最后一行以尝试获取令牌时，我得到：

Microsoft.IdentityModel.Clients.ActiveDirectory.AdalServiceException：AADSTS70001：此 API 版本不支持应用程序“xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx”。

我可以从这个错误中推断出什么？这是否意味着已暂时删除 Azure AD B2C 的 Graph 访问权限？还是我需要启用某些东西？还是我有一个端点 URL 错误？

我正在尝试找出我的 Azure AD B2C 目录中是否已使用电子邮件地址。

我正在对我的电子邮件地址进行编码，就像我在获得所有用户时看到我的电子邮件地址被编码一样。如果甚至可以通过电子邮件地址查询，我感觉我很接近。

目前我尝试过的所有事情都返回 400 或 404。有谁知道是否有办法通过电子邮件地址（登录名）查询？

编辑

在类似的主题上，我也在尝试更改用户密码的查询，但无济于事。我想如果我可以让查询为一个工作，我可以让它在另一个工作。

我正在使用 Azure AD B2C 在 AspNetCore RC2 MVC 应用程序中进行身份验证，这部分适用于当我导航到需要身份验证的操作时，我会相应地重定向到 B2C 登录页面。当我成功登录时，我被正确地重定向到我的应用程序页面（并且我可以看到查询参数中适当地提供了 id_token 字段）。不幸的是，管道身份验证中间件似乎没有正确处理重定向查询参数，因为它立即将我重定向到登录页面。任何人都可以建议吗？

我正在使用的代码如下：

我希望我对我的问题很清楚，所以就这样吧。在我们的应用程序的注册流程中，我们要求用户输入用户名、电子邮件和密码。但是，我们不需要确认/验证用户的电子邮件以继续使用该应用程序。根据我们的 IT 部门 - Azure AD B2C 要求最终用户在首次注册期间验证电子邮件地址。这是绝对真理吗？其他应用程序需要电子邮件，但仍会让用户无需确认即可使用服务。

我们了解风险，如果用户决定使用他们不拥有的电子邮件，我们会为他们承担责任。这种情况的细节将在法律披露中详细说明。因此，重置密码、通知等不适用于该用户。

此解决方案是使用您的示例代码（在 GitHub 中发布）开发的--> https://github.com/AzureAD/passport-azure-ad/tree/master/examples/login-oidc-b2c

当我想使用 passport-azure-ad 登录时（Node JS Web App --> https://azure.microsoft.com/en-us/documentation/articles/active-directory-b2c-devquickstarts-web-node/ )，Node JS 输出（在终端上）说：

WARN: AzureAD: OIDC Passport Strategy/14580 on Llorenç-PC: We are not validating the issuer. This is fine if you are expecting multiple organizations to connect to your app. Otherwise you should validate the issuer.

我该如何解决？

另一方面，我们如何获取用户数组的用户信息/声明？

我们的系统管理员希望能够搜索用户并通过他们的名字和姓氏来识别他们，我们在他们注册时收集/要求这两者。

我们不允许用户在创建帐户时指定“显示名称”值。

管理门户使用“显示名称”作为“用户”窗格中显示的三列之一。

如果系统管理员能够在用户管理门户中查看为 Surname 和 Given Name 指定的值，以便能够识别正确的帐户，这将很有用。

我知道有一个过滤器/搜索，我可以在其中输入关键字，它确实会找到名字或姓氏与这些匹配的帐户，但如果他们的名字没有显示在“用户名”中（已设置成为电子邮件），很难确定匹配。

当我们收到来自新帐户的连接时，我可以编写代码来使用图形 API 更新显示名称，但我宁愿不这样做。

查看已创建 B2C 帐户的用户列表时，是否可以将显示名称配置为使用“名字”+“姓氏”值？

或者，是否可以将其他属性显示为列以及或代替“显示名称”？

我花了一些时间让我的 MVC 6 .NET Core 网站与 Azure B2C 一起工作，一切似乎都运行良好。但是，围绕声称我似乎无法找出正确策略的一些问题。

假设用户使用电子邮件、名字、姓氏在我的网站上注册。注册完成后，我想将一条记录添加到我的数据库中引用该用户的 UserProfile 表中。

问题 1： 我应该在 Azure B2C 中创建“UserProfileId”声明吗？或者我应该在我的数据库表中创建一个引用 AD 用户的“ObjectId”字段？什么更有意义？

问题 2： 一旦用户注册，我将在哪里以及如何更新 AD 用户声明？我会在这些事件之一中这样做吗？或者别的地方？我看到有一个“用户是新用户”声明可以检查？

问题 3： 要更新声明，我是否会使用：Microsoft.Azure.ActiveDirectory.GraphClient？有没有人有任何关于如何更新自定义声明的示例代码？我已经尝试过了，但它似乎并没有持续存在：

这是我的身份验证配置。谢谢！！！！！

我正在尝试在需要访问令牌的服务器端编辑用户的 AD 配置文件。我可以使用仅使用客户端 ID 和密码的本机应用程序示例来做到这一点。 文档提到只有 http 请求才有可能（请参阅获取访问令牌），但我找不到任何示例或方法来执行此操作。