У меня есть настраиваемая политика, которая позволяет нескольким пользователям аутентифицировать себя, но затем вводить адрес электронной почты другого пользователя, которого необходимо выдать (для вызовов службы поддержки и т. Д.). Пользователи в каталоге AAD B2C бывают двух типов: 1) локальные пользователи (сторонние партнеры) и 2) федеративные пользователи из нашего внутреннего корпоративного AAD. Олицетворение локальных пользователей работает. Решение основано на примере github.com/azure-ad-b2c/samples/tree/master/policies/
Что не работает, так это выдача себя за федеративных пользователей. То, что я хотел бы сделать, это прочитать пользователя на основе других Mails (который будет уникальным среди активных пользователей), но когда я пытаюсь загрузить пользовательскую политику с шагом Чтение пользователя из каталога B2C по утверждению otherMails, я получаюсообщение проверки '.Input Утверждение' otherMails 'не поддерживается в техническом профиле поставщика Azure Active Directory' SelfAsserted-TargetEmailExchangeFederated 'политики' B2C_1A_Impersonation '.
в базовой политике определено "otherMails", поэтому кажется, что этопросто не поддерживается "Читать" на. Я получаю то же самое сообщение об ошибке, если пытаюсь указать атрибут mailNickname. Я могу успешно загрузить и запустить поиск политик по другим атрибутам, таким как employeeId или immutableId, однако у них есть другие ограничения (размер, уникальность), которые не делают их пригодными для хранения адресов электронной почты.
Есть лиспособ прочитать профиль пользователя по другой почте?
Если нет, могу ли я использовать другое поле? (Я попытался добавить расширенный атрибут, политика будет работать, но учетная запись не будет найдена).
Если не считать одного из них, есть ли способ прочитать учетную запись из нашей корпоративной AAD по электронной почте из пользовательской политики? (вызывая граф api и т. д.?)