Может ли настраиваемая политика Azure AD B2C теоретически создавать токен из утверждений социального IDP даже без пользователя Azure AD?

Это (в основном) теоретический вопрос от нового пользователя B2C.

Если все утверждения, которые я отправляю RP, доступны из OIDC ClaimsProvider, мне кажется, что я могу создать проход через настраиваемую политику, которая на самом деле не требует существования пользователя Azure AD - токен просто создается из утверждений.

Есть ли способы, которыми это нарушит обработку B2C? Я не нашел ни одного во время ограниченного тестирования. Создает ли это долгосрочную головную боль для поддержки B2C?


azure azure-ad-b2c azure-ad-b2c-custom-policy
person user594102    schedule 16.01.2021    source источник
comment
Одним из следствий этого является то, что вы не получите список пользователей на портале управления / Graph API.   -  person juunas    schedule 17.01.2021

Ответы (1)


arrow_upward
0
arrow_downward

Что ж, по крайней мере, это неожиданно. А это значит, что вы будете на пути, по которому вы будете в основном сами по себе.

AFAIK (что, конечно, не все) преимущества, которые вы получаете от B2C, например, самообслуживания, вы не получите, не имея набора зарегистрированных пользователей в вашем клиенте B2C. И в ответ на это мой вопрос будет: почему бы не пройти аутентификацию напрямую в этом OIDC?

person Henk de Koning    schedule 18.01.2021
comment
У нас есть несколько «примитивных» приложений SAML, которые могут работать только с одним IDP, но нам необходимо поддерживать несколько IDP. Этот «маршрутизатор» B2C позволит нам создать виртуального IDP для этих приложений. Мы, вероятно, попытаемся в конечном итоге переместить один из этих наборов пользователей в B2C, но возможности MFA в B2C по-прежнему отсутствуют (нет опций push). - person user594102; 18.01.2021