如何使用B2C配置多个Microsoft.Identity.Web策略？

Question

我希望我的应用程序接受来自两个不同B2C用户流的签名，使用相同的租户和应用程序注册。换句话说，我希望这两个链接都允许我登录到我的应用程序。

• https://myapp.b2clogin.com/myapp.onmicrosoft.com/oauth2/v2.0/authorize?**p=b2c_1_susi**&client_id=00000000-0000-0000-0000-000000000000&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fmyapp.azurewebsites.net%2Fsignin-oidc&scope=openid&response_type=id_token&prompt=login
• https://myapp.b2clogin.com/myapp.onmicrosoft.com/oauth2/v2.0/authorize?**p=b2c_1_susi_vip**&client_id=00000000-0000-0000-0000-000000000000&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fmyapp.azurewebsites.net%2Fsignin-oidc&scope=openid&response_type=id_token&prompt=login

我从Visual模板开始，使用Microsoft平台作为身份验证类型(尽管基本的剃刀应用程序也有相同的问题)，并简单地更改了应用程序设置以放置B2C信息。

"AzureAdB2C": {
  "Instance": "https://myapp.b2clogin.com",
  "ClientId": "00000000-0000-0000-0000-000000000000", //my client id
  "Domain": "myapp.onmicrosoft.com",
  "SignUpSignInPolicyId": "b2c_1_susi",
  "TenantId": "11111111-0000-0000-0000-000000000000" //my tenant id
},
"AzureAdB2CVIP": {
  "Instance": "https://myapp.b2clogin.com",
  "ClientId": "00000000-0000-0000-0000-000000000000", //my client id, same as AzureAdB2C
  "Domain": "myapp.onmicrosoft.com",
  "SignUpSignInPolicyId": "b2c_1_susi_vip",
  "TenantId": "11111111-0000-0000-0000-000000000000" //my tenant id
}

然后在Startup.cs in ConfigureServices中，我更改了设置名：

services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
    .AddMicrosoftIdentityWebApp(Configuration.GetSection("AzureAdB2C"));
services.AddControllersWithViews()
    .AddMicrosoftIdentityUI();

正如预期的那样，当我运行我的应用程序时，我会被重定向到我的b2c_1_susi策略来登录，并且它连接得很好。

现在我想添加b2c_1_susi_vip。它不需要是默认的，但我的应用程序也应该接受它。在尝试了我发现的几种方法之后，我得到的最不坏的方法如下：

var auth = services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme);
auth.AddMicrosoftIdentityWebApp(Configuration.GetSection("AzureAdB2CVIP"));
auth.AddMicrosoftIdentityWebApp(Configuration.GetSection("AzureAdB2C"), cookieScheme: "authvip", openIdConnectScheme: "");

它将我重定向到b2c_1_susi，并且至少可以使用该策略，但尝试在Error from RemoteAuthentication: IDX10501: Signature validation failed中登录b2c_1_susi_vip结果。

我几乎总是以签名错误或message.State为空/无法读取的错误结束。

我尝试过的方法都没有成功

• https://damienbod.com/2022/05/16/using-multiple-azure-b2c-user-flows-from-asp-net-core/
• https://github.com/AzureAD/microsoft-identity-web/wiki/Multiple-Authentication-Schemes
• https://stackoverflow.com/a/64525774
• And还有其他几个人说的话与前三个相同.

这种看似简单的场景不可能吗？

Answer 1

我永远无法让我的用户流和我的自定义策略一起工作，所以我将我的用户流重新创建为一个自定义策略。然后，我使用this answer作为解决方案的起点。

我创建了一个带有properties.Items["policy"] = "b2c_1_susi_vip";

• In操作的MyAccountController，该操作只是微软注册操作的一个副本，但是我设置了 my B2C页面模板，我添加了一个指向mywebapp.com/MicrosoftIdentity/MyAccount/SignUpVip.的链接这将正确地将用户重定向到带有有效状态参数的b2c_1_susi_vip策略，并设置ASPnet的相关cookie。