Azure AD B2C 从电子邮件直接到身份提供者答案

【问题标题】：Azure AD B2C Direct to Identity Provider from EmailAzure AD B2C 从电子邮件直接到身份提供者
【发布时间】：2020-09-23 19:28:52
【问题描述】：

在我工作的公司，我们有自己的 Active Directory 设置。我们还有许多外部合作伙伴，每个合作伙伴都有自己的 Active Directory 设置。我们正在尝试使用 Azure AD B2C 创建一个登录位置。添加多个身份提供者很容易，但每个提供者都会显示按钮，并且由于隐私问题，我们不能让我们的合作伙伴知道我们还与谁合作。我们希望索要一封电子邮件，并根据电子邮件的域将用户引导至正确的身份提供者。

我知道有办法做到这一点，但是到目前为止我发现的所有方法都非常复杂。对此的要求似乎在许多企业中非常普遍，因此最简单的实现方法需要大约一百个步骤的概念似乎并不正确。

我知道 Home Realm Discovery，但就像我看到的所有示例一样，它需要非常复杂的设置（声明提供者调用 azure 函数从数据库查询以返回 idP 的自定义策略），我们已经必须设置身份提供者真的没有简单的方法可以说“来自parter1.com 的电子邮件使用这个提供者，来自parter2.com 的电子邮件使用这个”？如果没有，有人可以解释实现这一目标的复杂租赁方式吗？

【问题讨论】：

标签： active-directory azure-active-directory azure-ad-b2c

【解决方案1】：

请参阅此示例，该示例收集电子邮件并根据域名进行 HRD。

https://github.com/azure-ad-b2c/samples/tree/master/policies/home-realm-discovery-modern

如果您在 B2C 页面收集电子邮件，则必须使用自定义策略。

如果您在应用程序中收集电子邮件，则可以使用带有 domain_hint 参数的用户流。您不需要做任何 xml 工作，只需传递一个与门户中的 idp 名称相同的 domain_hint 参数即可。 https://docs.microsoft.com/en-us/azure/active-directory-b2c/direct-signin#redirect-sign-in-to-a-social-provider

【讨论】：

我已经看到了那个链接，它只会让这个过程让我更加困惑。我认为这没有理由如此复杂。出于安全考虑，我们不只是复制和粘贴第三方的东西，如果我们要实施家庭领域发现解决方案，最好有信息说明它是如何工作的。
您的第二个链接说它用于社交登录，我说的是链接多个 AD 身份提供商。此外，如果有人在没有该参数的情况下访问第二个链接，他们不会看到带有提供者选择的页面。公司有一种方法可以查看我们可能违反隐私/合同的其他公司的名称。
社交登录是联合登录。同样的事情。您可以复制和粘贴，因为它使用的框架，除非配置非常差，否则不会完全导致安全问题。其次，我构建了那个样本并在产品团队工作。第三，您可以使用大量资源来了解示例的工作原理，包括自述文件本身。
是的，在第二种方法中，如果您以空域或无效域提示结束链接，您将看到所有提供程序。同样，您可以通过默认禁用所有提供程序来处理自定义策略。
好的，谢谢你的信息。我发现自述文件中的信息令人印象深刻。 “It does this then this then this”的列表对刚开始的人来说并不是很有帮助。我可能会使用测试应用程序进行尝试，看看它是否适合我们。另一个考虑因素是它在哪里查询域到提供者的映射？因为我在自述文件或政策中对此一无所知。如果能从身份提供者列表中提取出来，那就太好了，但如果它有效，它将为我们提供一个起点。如果它对我们有用，我会在明天接受答案之前对其进行测试。