使用Azure AD/B2C用户的安全API
我的用例是:
- 使用自定义字段通过API创建用户,使用任何电子邮件地址指定密码。
- 通过API更新/禁用这些用户
- “登录”到Azure AD应用程序,通过rest获得用户详细信息以获取令牌
- 在Http标头中传递令牌时,向Web发出授权请求
所有这些都可以用直接的Azure AD/B2C来实现吗?还是我应该看看其他身份提供者,例如IdentityServer/Auth0?
编辑1
在AAD应用/用户和B2C应用/用户之间,我变得非常困惑,对于在这种情况下使用什么没有什么指导。
使用https://learn.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-devquickstarts-graph-dotnet作为起点,当插入客户端id和机密时,我会得到以下结果:
- Azure AD -应用程序类型的Web应用程序/ Api - works,可以创建用户
- Azure AD -应用程序类型本机-不工作,无法创建用户
- Azure B2C --按链接在Powershell中创建的应用程序--可以创建用户,但是我无法在Azure中看到新创建的应用程序,也无法进行更改。
- Azure B2C --在B2C UI中创建的应用程序--不起作用,请求图形应用程序失败时“权限不足”。我在Powershell中手动添加了读/写权限,但这不起作用。
在这一点上,我不知道什么是正确的方法,我的方案。
回答 1
Stack Overflow用户
发布于 2017-04-06 21:21:05
如果您想在Azure AD B2C中添加本地帐户,可以使用Azure AD Graph来实现这一点,以向Azure Active Directory B2C租户添加本地帐户用户,请参见创建用户(本地帐户) api文档。
如果您想要添加诸如Facebook和Google这样的社交帐户,您需要检查这些身份是否提供了用于管理用户的REST API。
编辑
为了连接到Graph,目前您需要在Azure中安装另一个应用程序(不是在azure ad b2c刀片中):
在该应用程序中,您可以设置app键并授予权限以使用Azure,.Another使用powershell服务主体的方式是,并附加3个Graph权限:
在B2C应用程序中用户签名之后,当调用图形api时,您可以使用ADAL v2或v3来获取访问令牌,这些令牌可以与Azure app (使用客户端凭据流)一起使用。请参考上述链接中的代码示例。
如果您想限制可以使用Graph创建用户的用户,您可以在app中编写自己的逻辑来控制它。
更新:
B2C应用程序(在B2C刀片中创建)可以帮助您登录和注册用户,但是b2c应用程序不能访问当前的API (预览版,但不能在我的门户中选择任何api ),因此您需要使用一个AD应用程序(在蔚蓝的广告刀片中),它可以授予访问其他API(如Microsoft )的权限。当以下链接:https://learn.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-devquickstarts-graph-dotnet,在文章中他创建了一个ServicePrincipal而不是一个应用程序,所以您找不到这个应用程序,请单击这里获取关于Active中的应用程序和服务主体对象的更多详细信息
https://stackoverflow.com/questions/43264520
复制
腾讯云开发者
