Как добавить пользователя в качестве члена от другого IDP?

Question

У нас есть клиент ADB2C с настройкой Identity Provider для настройки Okta в другой организации через Open ID Connect.

У нас есть интерфейс администратора для добавления пользователей. Я вижу, что GraphAPI имеет createUser, который принимает json с паролем и настройкой changePwdOnFirstUse. Это нормально, чтобы добавить прямого члена в ADB2C.

У меня проблема в том, как я могу добавить пользователя из другой Okta Организация так, что когда этот пользователь входит в мое приложение (и аутентифицируется Okta), может войти в мое приложение.

В настоящее время, после аутентификации от Okta, мы видим, что Пользователь не найден Ошибка.

Полагаю, я не могу добавить этого пользователя через Graph API, используя тот же метод createUser, поскольку этот пароль пользователя не является тем, чем мы должны управлять.

Как добавить этого другого пользователя организации в ADB2C, чтобы я не увидел эту проблему "Пользователь не найден"?

Спасибо.

Answer 1

Используя API Azure AD Graph, вы можете создать пользователя внешней учетной записи со свойством userIdentities объекта user , установленным на sub (субъект) утверждение токена идентификатора Okta:

{
  "accountEnabled": false,
  "displayName": "John Smith",
  "mailNickname": "john.smith",
  "otherMails": [
    "john.smith@company.com"
  ],
  "userIdentities": [
    {
      "issuer": "{okta-id-token-iss-claim-value}",
      "issuerUserId": "{okta-id-token-sub-claim-value}"
    }
  ],
  "userPrincipalName": "{guid}@{your-tenant-name}.onmicrosoft.com"
}

где IssueUserId должно быть установлено в кодировку base64 для sub утверждения идентификатора Oktaмаркер.