Azure AD B2 C Ошибка AADB2C99002 - но я существую

Question

Я создаю мультитенантное приложение SAAS обратно Azure AD B2 C и использую группы в качестве моих арендаторов. Сейчас я создаю приложение администратора для управления арендаторами, и единственные люди, которые должны иметь возможность использовать его, - это пользователи в экземпляре AD моей компании. Я создал поток входа в систему с моим Azure AD в качестве единственного поставщика удостоверений и зарегистрировал приложения. Пользовательский поток работает, за исключением того, что я получил ошибку AADB2C99002, сообщив, что я не существую в экземпляре B2 C. Проблема в том, что я существую в экземпляре B2 C, потому что я его создал, и я являюсь глобальным администратором для него. Я знаю из документов, что в нем говорится, что вам нужно сначала зарегистрироваться, прежде чем вы сможете войти в систему с внешним поставщиком удостоверений, но, как я уже сказал, у меня уже есть учетная запись, и она связана с экземпляром AD моей компании.

Может кто-нибудь пролить свет на то, почему экземпляр B2 C думает, что я не существую?

Прямо сейчас я обдумываю свои варианты, если не могу выяснить, в чем проблема. На мой взгляд, их 2, но не уверен, что они будут работать.

1) создайте комбинированную политику регистрации и входа и удалите ее после регистрации. Не уверен, что это создаст дубликата пользователя.

2) создайте пользовательскую политику входа в систему - не уверен, что это решит проблему.

Answer 1

Если вы хотите разрешить рабочую учетную запись (например, локальный пользователь, которому назначена роль глобального администратора) или гостевая учетная запись (например, внешний пользователь, который является назначенной роли глобального администратора), то вы можете настроить приложение администрирования с аутентификацией Azure AD (не Azure AD B2 C).

Для этого необходимо зарегистрировать приложение администрирования. через блейд Azure AD (не блейд Azure AD B2 C) в вашем Azure AD B2 C арендаторе.

Запутываетесь? Да :), но это работает, если это то, что вам нужно сделать.

Answer 2

Ах, я думаю, это немного сбивает с толку людей. Пользователь, который у вас есть сейчас, не является пользователем B2 C, поэтому он не находит его.

Похоже, вам понадобится политика регистрации или пользовательская политика входа, которая создает пользователя, если он не существует.

Вы сможете заранее создавать пользователей с помощью скрипта: https://docs.microsoft.com/en-us/previous-versions/azure/ad/graph/api/users-operations#CreateLocalAccountUser.

Начиная с версии 1.6, Graph API поддерживает создание локальных и пользователи социальных учетных записей для Azure Active Directory B2 C арендаторов. В отличие от пользователей, связанных с рабочей или учебной учетной записью, для которых требуется вход с адресом электронной почты, который содержит один из подтвержденных доменов арендатора, пользователи локальной учетной записи поддерживают вход с учетными данными, указанными в приложении c; например, со сторонним адресом электронной почты или именем пользователя, указанным в приложении c. Пользователи социальной учетной записи выполняют вход с использованием популярных поставщиков социальных сетей, таких как Facebook, Google, LinkedIn или Microsoft.

Если вы не уверены, какие значения указывать, вы можете создать политику быстрой регистрации, зарегистрироваться у своего пользователя и наблюдать за данными в AAD Graph API.