如何配置 aad b2c 自定义策略以使用本地帐户 + 其他客户端

Question

我需要在 AAD B2C 租户上配置登录（无注册）自定义策略，但我缺乏 IEF 的经验来正确设计/开发和测试它。该政策应（逻辑上）如下所示：

1. 向用户呈现 UI 以仅输入电子邮件（使用自我断言的 TP？）
2. 使用自定义逻辑来确定用户是代表本地帐户还是代表我们的任何已知客户。单个客户端可能有多个可能的域要在同一 IdP 中进行身份验证。我知道执行此步骤的唯一选项是外部 REST 服务，但如果有任何其他选项包括使用 C#、JS 或事件在自定义策略引擎内运行的自定义登录，我想避免这种情况从电子邮件域到 IdP 域的字典。
3. 根据步骤 2 中自动选择的 IdP，分支到用户将登录的不同旅程
4. 对于本地帐户登录旅程，如果用户属于管理员组，则他/她将需要使用 MFA。最终声明只需要电子邮件、显示名称、名字、姓氏和用户 ID。
5. 对于其他 IdP，我必须添加 ClaimProviders 和子旅程以允许用户登录
6. 最后应该将 JWT 令牌颁发给依赖方。

   不需要存储回 AAD 存储，因为没有注册过程。用户是从应用程序创建并受邀（如果是本地帐户）或已经存在于其相应的 IdP 中。

Answer 1

您应该研究的措辞是“home realm discovery”。

GitHub 上有一个自定义策略示例。但是，此示例要求应用程序提供电子邮件提示。您需要以一种在自我声明的步骤中捕获电子邮件的方式对其进行扩展。

对于您需要实施登录旅程的场景，用户会根据他们的电子邮件域自动定向到他们的联合身份提供者。对于到达未知域的用户，他们将被重定向到默认身份提供者。

在此示例中，输入后缀为 contoso.com 的电子邮件的用户将被直接重定向到其联合身份提供程序以进行登录。在本例中为 Azure AD (SAML2)。

输入后缀为 facebook.com 的电子邮件的用户将被直接重定向到其联合身份提供者以登录。在本例中为 Facebook (OAuth)。

如果用户来自未知的电子邮件后缀，他们将被直接重定向到默认身份提供者，在本例中为 Azure AD (OpenId)。