Vorausgesetzt, dass Sie die benutzerdefinierten Ansprüche in den Benutzern Reisen lesen und über die Azure AD Graph API zu schreiben, dann müssen Sie:
1: Fügen Sie die benutzerdefinierten Ansprüche als <ClaimType />
s an die Basispolitik.
<ClaimType Id="extension_UserAttribute1">
<DisplayName>User Attribute 1</DisplayName>
<DataType>string</DataType>
</ClaimType>
<ClaimType Id="extension_UserAttribute2">
<DisplayName>User Attribute 2</DisplayName>
<DataType>string</DataType>
</ClaimType>
2: Fügen Sie die Anwendung und Objekt-Identifikatoren für the extensions app zum „AAD-Common“ technischen Profil, die erforderlich ist, um die kundenspezifische Forderungen aus dem Azure AD B2C-Verzeichnis zu lesen.
<TechnicalProfile Id="AAD-Common">
<DisplayName>Azure Active Directory</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.AzureActiveDirectoryProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
<Metadata>
<Item Key="ApplicationObjectId">Insert the object identifier for the b2c-extensions-app application here</Item>
<Item Key="ClientId">Insert the application identifier for the b2c-extensions-app application here</Item>
</Metadata>
<CryptographicKeys>
<Key Id="issuer_secret" StorageReferenceId="TokenSigningKeyContainer" />
</CryptographicKeys>
...
</TechnicalProfile>
Hinweis: Wenn Sie wollen, um die benutzerdefinierten Ansprüche in beiden integrierten Richtlinien und benutzerdefinierten Richtlinien lesen, dann müssen Sie die Anwendung und Objekt-IDs für den Einbau-b2c-extensions-App verwenden Anwendung statt einer benutzerdefinierten Erweiterungen App wie von der Azure Active Directory B2C: Creating and using custom attributes in a custom profile edit policy Tutorial vorgeschlagen.
3: die benutzerdefinierten Ansprüche als <OutputClaim />
s auf die folgenden technischen Profilen hinzufügen:
"AAD-UserReadUsingObjectId" für lokales Konto Anmelde- und Profilbearbeitung
"AAD-UserReadUsingAlternativeSecurityId" für ein soziales Konto Anmelde- und Profilbearbeitung
"LocalAccountDiscoveryUsingEmailAddress" und "AAD-UserReadUsingEmailAddress" für ein lokales Konto Passwort zurücksetzen
<OutputClaims>
...
<OutputClaim ClaimTypeReferenceId="extension_UserAttribute1" />
<OutputClaim ClaimTypeReferenceId="extension_UserAttribute2" />
</OutputClaims>
4: Geben Sie die benutzerdefinierten Ansprüche als <OutputClaim />
s in Richtlinien für vertrauende Parteien ein.
Excellent !, Jay, wenn du glaubst, dass die obige Antwort anderen helfen kann, kannst du das bitte so markieren? –