标签: azure-ad-b2b

我知道如何在我的主机租户中重置我的身份验证器应用 MFA 设置。我会按照此处找到的说明使用此链接https://account.activedirectory.windowsazure.com/proofup.aspx?proofup=1 https://learn.microsoft.com/en-us/azure/active-directory/user- help/multi-factor-authentication-end-user-manage-settings，我会单击“设置身份验证器应用程序”按钮。

但是，如何在我作为访客的租户中重置我的 MFA ？

我们希望将Azure AD B2C用于我们的Web应用程序,以允许用户使用"本地"帐户/密码登录或使用他们的社交帐户(Facebook等). https://docs.microsoft.com/azure/active-directory-b2c/active-directory-b2c-overview

但是,在此应用程序中,我们可能会定位组织,因此我们还希望与公司现有的Azure AD公司帐户集成.这样,用户无需创建新帐户即可使用其现有的公司帐户.

事实证明,Azure AD B2C中有一个(新)功能,允许您使用如下所述的自定义策略显式链接到外部Azure AD帐户:https://docs.microsoft.com/azure/active-目录B2C /主动目录B2C -设置- AAD定制

不幸的是,这只有在我们事先知道我们需要链接哪些外部公司并添加特定配置时才有效.它还泄漏有关谁正在使用该应用程序的信息,因为公司名称在登录页面上列为选项.

我也看过Azure AD B2B功能,但我认为这也不合适.

我们真正喜欢的是Azure AD B2C为(公司)Microsoft帐户提供通用登录,该帐户检测该电子邮件地址是否已在任何Azure AD系统中处理; 如果是,则它将身份验证委派给该系统,但如果不是,则它将回退到Azure AD B2C本地帐户.

此通用登录已用于访问标准Microsoft应用程序,例如其门户.有没有人知道这是否可以在Azure AD B2C中实现,或者是否有可能的时间范围？是否有任何替代系统可以提供类似的功能？

我正在尝试向控制台应用程序授予在Azure AD中调用API的权限。

当我转到“添加权限”时，“应用程序权限”显示为灰色，并且我只能选择“授权权限”。

我的理解是，应用程序权限适用于控制台应用程序，因为它在后端运行，并且用户未登录。

从“应用程序权限”的帮助文本中：

您的应用程序在没有登录用户的情况下作为后台服务或守护程序运行。

“授权权限”的帮助文本：

您的应用程序需要以登录用户身份访问API。

为什么禁用“应用程序权限”？

我在 AAD 上遇到一些奇怪的行为。用户成功登录后，我们的 API 调用中某些用户会收到未经授权的消息。结果发现 JWT 中的声明丢失了。一些用户获得“groups”声明（他所属的所有 groupId 的数组），一些用户获得“hasgroups”声明（如果用户有组，则为布尔值，没有 ID）。由于我们的 API 应用程序正在检查此“组”声明以获取授权，因此没有此“组”声明的用户将收到 403。\xe2\x80\xac

\xe2\x80\xaa尽管如此，在应用程序注册的清单中，我将 \xe2\x80\x9cgroupMembershipClaims\xe2\x80\x9d 从 \xe2\x80\x9cnull\xe2\x80\x9d 设置为“All”或“SecurityGroup” ，这应该可以达到目的。还要将“oauth2AllowImplicitFlow”设置为 true，因为我们正在使用使用 OAuth2 的 Angular 应用程序。接下来，我比较了几乎所有用户设置，除了一些额外的组之外，用户是相同的。\xe2\x80\xac 受影响的用户没有很多组，有些甚至有大约 5 个组最大限度。

我是否忽略了某些事情或导致索赔差异的原因？我该如何解决这个问题，以便所有用户都获得“组”声明？