Vytvoření a čtení uživatelského účtu pomocí vlastních zásad Azure Active Directory B2C

Azure Active Directory B2C (Azure AD B2C) je založený na ID Microsoft Entra, a proto k ukládání uživatelských účtů používá úložiště Microsoft Entra ID. Profil uživatele adresáře Azure AD B2C obsahuje integrovanou sadu atributů, jako je jméno, příjmení, město, PSČ a telefonní číslo, ale profil uživatele můžete rozšířit o vlastní atributy bez nutnosti externího úložiště dat.

Vaše vlastní zásady se můžou připojit k úložišti Microsoft Entra ID pomocí technického profilu Microsoft Entra ID k ukládání, aktualizaci nebo odstraňování informací o uživateli. V tomto článku se dozvíte, jak nakonfigurovat sadu technických profilů Microsoft Entra ID pro ukládání a čtení uživatelského účtu před vrácením tokenu JWT.

Přehled scénáře

Při volání rozhraní REST API pomocí článku vlastních zásad Azure Active Directory B2C shromažďujeme informace od uživatele, ověřujeme data, nazýváme rozhraní REST API a nakonec vrátíme JWT bez uložení uživatelského účtu. Musíme uložit informace o uživateli, abychom neztratili informace po dokončení provádění zásad. Když tentokrát shromáždíme informace o uživateli a ověříme je, musíme uložit informace o uživateli v úložišti Azure AD B2C a pak si přečíst, než vrátíme token JWT. Celý proces je znázorněn v následujícím diagramu.

Předpoklady

• Pokud ho ještě nemáte, vytvořte tenanta Azure AD B2C, který je propojený s vaším předplatným Azure.

• Zaregistrujte webovou aplikaci a povolte implicitní udělení tokenu ID. Pro identifikátor URI přesměrování použijte https://jwt.ms.

• V počítači musíte mít nainstalovaný Visual Studio Code (VS Code ).

• Dokončete kroky volání rozhraní REST API pomocí vlastních zásad Azure Active Directory B2C. Tento článek je součástí vytváření a spouštění vlastních zásad, které vás provedou řadou návodů.

Poznámka:

Tento článek je součástí řady s návody k vytvoření a spuštění vlastních zásad v Azure Active Directory B2C. Doporučujeme spustit tuto řadu z prvního článku.

Krok 1 – Deklarace deklarací identity

Musíte deklarovat dvě další deklarace identity, userPrincipalNamea passwordPolicies:

1. ContosoCustomPolicy.XML V souboru pomocí následujícího kódu vyhledejte element ClaimsSchema a deklarujte a deklarujte userPrincipalName deklarace passwordPolicies identity:

       <ClaimType Id="userPrincipalName">
           <DisplayName>UserPrincipalName</DisplayName>
           <DataType>string</DataType>
           <UserHelpText>Your user name as stored in the Azure Active Directory.</UserHelpText>
       </ClaimType>
       <ClaimType Id="passwordPolicies">
           <DisplayName>Password Policies</DisplayName>
           <DataType>string</DataType>
           <UserHelpText>Password policies used by Azure AD to determine password strength, expiry etc.</UserHelpText>
       </ClaimType>
   

   Přečtěte si další informace o používání userPrincipalName atributů profilů uživatelů a passwordPolicies deklarací identity .

Krok 2 : Vytvoření technických profilů Microsoft Entra ID

Musíte nakonfigurovat dva technické profily Microsoft Entra ID. Jeden technický profil zapisuje podrobnosti o uživateli do úložiště Microsoft Entra ID a druhý čte uživatelský účet z úložiště Microsoft Entra ID.

1. ContosoCustomPolicy.XML V souboru vyhledejte element ClaimsProviders a přidejte nového zprostředkovatele deklarací pomocí následujícího kódu. Tento zprostředkovatel deklarací identity obsahuje technické profily Microsoft Entra ID:

       <ClaimsProvider>
           <DisplayName>Azure AD Technical Profiles</DisplayName>
           <TechnicalProfiles>
               <!--You'll add you Azure AD Technical Profiles here-->
           </TechnicalProfiles>
       </ClaimsProvider>
   

2. Do zprostředkovatele deklarací identity, který jste právě vytvořili, přidejte technický profil Microsoft Entra ID pomocí následujícího kódu:

       <TechnicalProfile Id="AAD-UserWrite">
           <DisplayName>Write user information to AAD</DisplayName>
           <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.AzureActiveDirectoryProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
           <Metadata>
               <Item Key="Operation">Write</Item>
               <Item Key="RaiseErrorIfClaimsPrincipalAlreadyExists">true</Item>
               <Item Key="UserMessageIfClaimsPrincipalAlreadyExists">The account already exists. Try to create another account</Item>
           </Metadata>
           <InputClaims>
               <InputClaim ClaimTypeReferenceId="email" PartnerClaimType="signInNames.emailAddress" Required="true" />
           </InputClaims>
           <PersistedClaims>
               <PersistedClaim ClaimTypeReferenceId="email" PartnerClaimType="signInNames.emailAddress" />        
               <PersistedClaim ClaimTypeReferenceId="displayName" />
               <PersistedClaim ClaimTypeReferenceId="givenName" />
               <PersistedClaim ClaimTypeReferenceId="surname" />
               <PersistedClaim ClaimTypeReferenceId="password"/>
               <PersistedClaim ClaimTypeReferenceId="passwordPolicies" DefaultValue="DisablePasswordExpiration,DisableStrongPassword" />
           </PersistedClaims>
           <OutputClaims>
               <OutputClaim ClaimTypeReferenceId="objectId" />
               <OutputClaim ClaimTypeReferenceId="userPrincipalName" />
               <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="signInNames.emailAddress" />
           </OutputClaims>
       </TechnicalProfile>
   

   Přidali jsme nový technický profil Microsoft Entra ID. AAD-UserWrite Je potřeba si uvědomit následující důležité části technického profilu:

   • Operace: Operace určuje akci, která se má v tomto případě provést, Zapisovat. Přečtěte si další informace o dalších operacích v technickém poskytovateli Microsoft Entra ID.

   • Trvalé deklarace identity: Element PersistedClaims obsahuje všechny hodnoty, které by měly být uloženy do úložiště Microsoft Entra ID.

   • InputClaims: Element InputClaims obsahuje deklaraci identity, která se používá k vyhledání účtu v adresáři nebo vytvoření nového. Pro všechny technické profily Microsoft Entra ID musí být ve vstupní kolekci deklarací identity přesně jeden vstupní prvek deklarace identity. Tento technický profil používá deklaraci identity e-mailu jako identifikátor klíče pro uživatelský účet. Přečtěte si další informace o dalších identifikátorech klíčů, které můžete použít jedinečně identifikovat uživatelský účet.

3. ContosoCustomPolicy.XML V souboru vyhledejte AAD-UserWrite technický profil a potom za něj přidejte nový technický profil pomocí následujícího kódu:

       <TechnicalProfile Id="AAD-UserRead">
           <DisplayName>Read user from Azure AD storage</DisplayName>
           <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.AzureActiveDirectoryProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
           <Metadata>
               <Item Key="Operation">Read</Item>
               <Item Key="RaiseErrorIfClaimsPrincipalAlreadyExists">false</Item>
               <Item Key="RaiseErrorIfClaimsPrincipalDoesNotExist">false</Item>
           </Metadata>
           <InputClaims>
               <InputClaim ClaimTypeReferenceId="email" PartnerClaimType="signInNames.emailAddress" Required="true" />
           </InputClaims>
           <OutputClaims>
               <OutputClaim ClaimTypeReferenceId="objectId" />
               <OutputClaim ClaimTypeReferenceId="userPrincipalName" />
               <OutputClaim ClaimTypeReferenceId="givenName"/>
               <OutputClaim ClaimTypeReferenceId="surname"/>
               <OutputClaim ClaimTypeReferenceId="displayName"/>
           </OutputClaims>
       </TechnicalProfile>
   

   Přidali jsme nový technický profil Microsoft Entra ID. AAD-UserRead Tento technický profil jsme nakonfigurovali tak, aby provedl operaci čtení a vrátili objectIduserPrincipalName, givenNamesurname a displayName deklarovali, pokud se najde uživatelský účet s email oddílemInputClaim.

Krok 3 : Použití technického profilu Microsoft Entra ID

Jakmile shromáždíme podrobnosti o uživateli pomocí technického UserInformationCollector profilu, musíme pomocí technického AAD-UserWrite profilu napsat uživatelský účet do úložiště Microsoft Entra ID. K tomu použijte AAD-UserWrite technický profil jako technický profil ověření v technickém UserInformationCollector profilu s vlastním potvrzením.

ContosoCustomPolicy.XML V souboru vyhledejte UserInformationCollector technický profil a pak přidejte AAD-UserWrite technický profil jako ověřovací technický profil v kolekciValidationTechnicalProfiles. Musíte ho přidat po technickém CheckCompanyDomain profilu ověření.

K přečtení podrobností o uživateli před vydáním tokenu JWT použijeme AAD-UserRead technický profil v krocích orchestrace cesty uživatele.

Krok 4 – aktualizace technického profilu ClaimGeneratoru

Technický profil používáme ClaimGenerator ke spuštění tří transformací deklarací identity GenerateRandomObjectIdTransformation, CreateDisplayNameTransformation a CreateMessageTransformation.

1. ContosoCustomPolicy.XML V souboru vyhledejte ClaimGenerator technický profil a nahraďte ho následujícím kódem:

       <TechnicalProfile Id="UserInputMessageClaimGenerator">
           <DisplayName>User Message Claim Generator Technical Profile</DisplayName>
           <Protocol Name="Proprietary"
               Handler="Web.TPEngine.Providers.ClaimsTransformationProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
           <OutputClaims>
               <OutputClaim ClaimTypeReferenceId="message" />
           </OutputClaims>
           <OutputClaimsTransformations>
               <OutputClaimsTransformation ReferenceId="CreateMessageTransformation" />
           </OutputClaimsTransformations>
       </TechnicalProfile>
   
       <TechnicalProfile Id="UserInputDisplayNameGenerator">
           <DisplayName>Display Name Claim Generator Technical Profile</DisplayName>
           <Protocol Name="Proprietary"
               Handler="Web.TPEngine.Providers.ClaimsTransformationProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
           <OutputClaims>
               <OutputClaim ClaimTypeReferenceId="displayName" />
           </OutputClaims>
           <OutputClaimsTransformations>
               <OutputClaimsTransformation ReferenceId="CreateDisplayNameTransformation" />
           </OutputClaimsTransformations>
       </TechnicalProfile>
   

   Technický profil jsme rozdělili do dvou samostatných technických profilů. Technický profil UserInputMessageClaimGenerator vygeneruje zprávu poslanou jako deklaraci identity v tokenu JWT. Technický profil UserInputDisplayNameGenerator generuje displayName deklaraci identity. Hodnota displayName deklarace identity musí být k dispozici před tím, AAD-UserWrite než technický profil zapíše záznam uživatele do úložiště Microsoft Entra ID. V novém kódu odebereme GenerateRandomObjectIdTransformation , protože objectId se vytvoří a vrátí ID Microsoft Entra po vytvoření účtu, takže ho nemusíme generovat sami v rámci zásad.

2. ContosoCustomPolicy.XML V souboru vyhledejte UserInformationCollector technický profil s vlastním kontrolním výrazem a pak přidejte UserInputDisplayNameGenerator technický profil jako technický profil ověření. Po provedení tohoto UserInformationCollector účelu by kolekce technického ValidationTechnicalProfiles profilu měla vypadat podobně jako v následujícím kódu:

       <!--<TechnicalProfile Id="UserInformationCollector">-->
           <ValidationTechnicalProfiles>
               <ValidationTechnicalProfile ReferenceId="CheckCompanyDomain">
                   <Preconditions>
                       <Precondition Type="ClaimEquals" ExecuteActionsIf="false">
                           <Value>accountType</Value>
                           <Value>work</Value>
                           <Action>SkipThisValidationTechnicalProfile</Action>
                       </Precondition>
                   </Preconditions>
               </ValidationTechnicalProfile>                        
               <ValidationTechnicalProfile ReferenceId="DisplayNameClaimGenerator"/>
               <ValidationTechnicalProfile ReferenceId="AAD-UserWrite"/>
           </ValidationTechnicalProfiles>
       <!--</TechnicalProfile>-->
   

   Před přidáním technického profilu AAD-UserWrite displayName ověření musí být k dispozici hodnota deklarace identity, než AAD-UserWrite technický profil zapíše záznam uživatele do úložiště Microsoft Entra ID.

Krok 5 – aktualizace kroků orchestrace cesty uživatele

Vyhledejte cestu uživatele a nahraďte HelloWorldJourney všechny kroky orchestrace následujícím kódem:

    <!--<OrchestrationSteps>-->
        <OrchestrationStep Order="1" Type="ClaimsExchange">
            <ClaimsExchanges>
                <ClaimsExchange Id="AccountTypeInputCollectorClaimsExchange" TechnicalProfileReferenceId="AccountTypeInputCollector"/>
            </ClaimsExchanges>
        </OrchestrationStep>
        <OrchestrationStep Order="2" Type="ClaimsExchange">
            <ClaimsExchanges>
                <ClaimsExchange Id="GetAccessCodeClaimsExchange" TechnicalProfileReferenceId="AccessCodeInputCollector" />
            </ClaimsExchanges>
            </OrchestrationStep>
        <OrchestrationStep Order="3" Type="ClaimsExchange">
            <ClaimsExchanges>
                <ClaimsExchange Id="GetUserInformationClaimsExchange" TechnicalProfileReferenceId="UserInformationCollector"/>
            </ClaimsExchanges>
        </OrchestrationStep>
        <OrchestrationStep Order="4" Type="ClaimsExchange">
            <ClaimsExchanges>
                <ClaimsExchange Id="AADUserReaderExchange" TechnicalProfileReferenceId="AAD-UserRead"/>
            </ClaimsExchanges>
        </OrchestrationStep>
        <OrchestrationStep Order="5" Type="ClaimsExchange">
            <ClaimsExchanges>
                <ClaimsExchange Id="GetMessageClaimsExchange" TechnicalProfileReferenceId="UserInputMessageClaimGenerator"/>
            </ClaimsExchanges>
        </OrchestrationStep>
        <OrchestrationStep Order="6" Type="SendClaims" CpimIssuerTechnicalProfileReferenceId="JwtIssuer"/>
    <!--</OrchestrationSteps>-->

V kroku 4orchestrace spustíme AAD-UserRead technický profil, abychom si přečetli podrobnosti o uživateli (zahrnuté do tokenu JWT) z vytvořeného uživatelského účtu.

Vzhledem k tomu, že deklaraci identity neukládáme message , v kroku 5orchestrace provedeme UserInputMessageClaimGenerator vygenerování message deklarace identity pro zahrnutí do tokenu JWT.

Krok 6 : Nahrání zásad

Postupujte podle kroků v části Nahrání souboru vlastních zásad a nahrajte soubor zásad. Pokud nahráváte soubor se stejným názvem jako soubor, který už je na portálu, nezapomeňte vybrat Možnost Přepsat vlastní zásadu, pokud už existuje.

Krok 7 – Testování zásad

Postupujte podle kroků v části Otestování vlastních zásad a otestujte vlastní zásady.

Po dokončení provádění zásady a obdržíte token ID, zkontrolujte, že se vytvořil záznam uživatele:

1. Přihlaste se k webu Azure Portal pomocí oprávnění globálního Správa istratoru nebo privilegované role Správa istrator.

2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a v nabídce Adresáře a předplatná přepněte do svého tenanta Azure AD B2C.

3. V části Služby Azure vyberte Azure AD B2C. Nebo pomocí vyhledávacího pole vyhledejte a vyberte Azure AD B2C.

4. V části Spravovat vyberte Uživatelé.

5. Vyhledejte uživatelský účet, který jste právě vytvořili, a vyberte ho. Profil účtu vypadá podobně jako na následujícím snímku obrazovky:

   

AAD-UserWrite V technickém profilu Microsoft Entra ID určíme, že pokud již uživatel existuje, vyvoláme chybovou zprávu.

Znovu otestujte vlastní zásadu pomocí stejné e-mailové adresy. Místo provádění zásad pro vydání tokenu ID by se měla zobrazit chybová zpráva podobná následujícímu snímku obrazovky.

Poznámka:

Hodnota deklarace identity hesla je velmi důležitá část informací, proto buďte velmi opatrní, jak ji zpracováváte ve vlastních zásadách. Z podobného důvodu Azure AD B2C považuje hodnotu deklarace identity hesla za speciální hodnotu. Když shromáždíte hodnotu deklarace hesla v technickém profilu s vlastním uplatněním, bude tato hodnota k dispozici pouze ve stejném technickém profilu nebo v rámci ověřovacích technických profilů, na které odkazuje stejný technický profil s vlastním potvrzením. Po dokončení provádění tohoto technického profilu s vlastním kontrolním výrazem a přesune se do jiného technického profilu, hodnota se ztratí.

Ověření e-mailové adresy uživatele

Doporučujeme, abyste před vytvořením uživatelského účtu ověřili e-mail uživatele. Při ověřování e-mailových adres se ujistěte, že jsou účty vytvořené skutečnými uživateli. Pomáháte také uživatelům zajistit, aby k vytvoření účtu používali správné e-mailové adresy.

Vlastní zásady Azure AD B2C poskytují způsob, jak ověřit e-mailovou adresu pomocí ovládacího prvku zobrazení ověření. Pošlete ověřovací kód e-mailu. Po odeslání kódu uživatel přečte zprávu, zadá ověřovací kód do ovládacího prvku, který poskytuje ovládací prvek zobrazení, a vybere tlačítko Ověřit kód .

Ovládací prvek zobrazení je prvek uživatelského rozhraní, který má speciální funkce a komunikuje s back-endovou službou Azure Active Directory B2C (Azure AD B2C). Umožňuje uživateli provádět akce na stránce, které vyvolávají technický profil ověření na back-endu. Ovládací prvky zobrazení jsou zobrazeny na stránce a jsou odkazovány vlastním kontrolním technickým profilem.

Pokud chcete přidat ověření e-mailu pomocí ovládacího prvku zobrazení, postupujte takto:

Deklarace deklarace identity

Musíte deklarovat deklaraci identity, která se má použít k uložení ověřovacího kódu.

Chcete-li deklarovat deklaraci identity, vyhledejte ClaimsSchema v ContosoCustomPolicy.XML souboru element a deklarujte deklaraci verificationCode identity pomocí následujícího kódu:

    <!--<ClaimsSchema>-->
        ...
        <ClaimType Id="verificationCode">
            <DisplayName>Verification Code</DisplayName>
            <DataType>string</DataType>
            <UserHelpText>Enter your verification code</UserHelpText>
            <UserInputType>TextBox</UserInputType>
        </ClaimType>
    <!--</ClaimsSchema>-->

Konfigurace technického profilu pro odesílání a ověření kódu

Azure AD B2C používá technický profil SSPR microsoftu Entra ID k ověření e-mailové adresy. Tento technický profil může vygenerovat a odeslat kód na e-mailovou adresu nebo kód ověří podle toho, jak ho nakonfigurujete.

ContosoCustomPolicy.XML V souboru vyhledejte ClaimsProviders element a přidejte zprostředkovatele deklarací pomocí následujícího kódu:

    <ClaimsProvider>
        <DisplayName>Azure AD self-service password reset (SSPR)</DisplayName>
        <TechnicalProfiles>
            <TechnicalProfile Id="AadSspr-SendCode">
            <DisplayName>Send Code</DisplayName>
            <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.AadSsprProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
            <Metadata>
                <Item Key="Operation">SendCode</Item>
            </Metadata>
            <InputClaims>
                <InputClaim ClaimTypeReferenceId="email" PartnerClaimType="emailAddress" />
            </InputClaims>
            </TechnicalProfile>
            <TechnicalProfile Id="AadSspr-VerifyCode">
            <DisplayName>Verify Code</DisplayName>
            <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.AadSsprProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
            <Metadata>
                <Item Key="Operation">VerifyCode</Item>
            </Metadata>
            <InputClaims>
                <InputClaim ClaimTypeReferenceId="verificationCode" />
                <InputClaim ClaimTypeReferenceId="email" PartnerClaimType="emailAddress" />
            </InputClaims>
            </TechnicalProfile>
        </TechnicalProfiles>
    </ClaimsProvider>

Nakonfigurovali jsme dva technické profily AadSspr-SendCode a AadSspr-VerifyCode. AadSspr-SendCode vygeneruje a odesílá kód na e-mailovou adresu uvedenou v InputClaims části, zatímco AadSspr-VerifyCode ověřuje kód. V metadatech technického profilu zadáte akci, kterou chcete provést.

Konfigurace ovládacího prvku zobrazení

Abyste mohli ověřit e-maily uživatelů, musíte nakonfigurovat ovládací prvek zobrazení ověření e-mailu. Ovládací prvek zobrazení ověření e-mailu, který nakonfigurujete, nahradí deklaraci identity zobrazení e-mailu, kterou používáte ke shromažďování e-mailů od uživatele.

Ke konfiguraci ovládacího prvku zobrazení použijte následující kroky:

1. ContosoCustomPolicy.XML V souboru vyhledejte BuildingBlocks oddíl a pak přidejte ovládací prvek zobrazení jako podřízený prvek pomocí následujícího kódu:

       <!--<BuildingBlocks>-->
           ....
           <DisplayControls>
               <DisplayControl Id="emailVerificationControl" UserInterfaceControlType="VerificationControl">
                 <DisplayClaims>
                   <DisplayClaim ClaimTypeReferenceId="email" Required="true" />
                   <DisplayClaim ClaimTypeReferenceId="verificationCode" ControlClaimType="VerificationCode" Required="true" />
                 </DisplayClaims>
                 <OutputClaims></OutputClaims>
                 <Actions>
                   <Action Id="SendCode">
                     <ValidationClaimsExchange>
                       <ValidationClaimsExchangeTechnicalProfile TechnicalProfileReferenceId="AadSspr-SendCode" />
                     </ValidationClaimsExchange>
                   </Action>
                   <Action Id="VerifyCode">
                     <ValidationClaimsExchange>
                       <ValidationClaimsExchangeTechnicalProfile TechnicalProfileReferenceId="AadSspr-VerifyCode" />
                     </ValidationClaimsExchange>
                   </Action>
                 </Actions>
               </DisplayControl>
           </DisplayControls> 
       <!--</BuildingBlocks>-->
   

   Deklarovali jsme ovládací prvek zobrazení. emailVerificationControl Poznamenejte si následující důležité části:

   • DisplayClaims – stejně jako v technickém profilu s vlastním uplatněním určuje tato část kolekci deklarací identity, které se mají shromažďovat od uživatele v ovládacím prvku zobrazení.

   • Akce – Určuje pořadí akcí, které má ovládací prvek zobrazení provést. Každá akce odkazuje na technický profil, který je zodpovědný za provedení akcí. Například SendCode odkazuje na AadSspr-SendCode technický profil, který generuje a odesílá kód na e-mailovou adresu.

2. ContosoCustomPolicy.XML V souboru vyhledejte UserInformationCollector technický profil s vlastním kontrolním výrazem a nahraďte deklaraci identity zobrazení e-mailu pro emailVerificationControl zobrazení ovládacího prvku:

   Od:

       <DisplayClaim ClaimTypeReferenceId="email" Required="true"/>
   

   Do:

       <DisplayClaim DisplayControlReferenceId="emailVerificationControl" />
   

3. Pomocí postupu v kroku 6 a 7 nahrajte soubor zásad a otestujte ho. Tentokrát musíte před vytvořením uživatelského účtu ověřit svoji e-mailovou adresu.

Aktualizace uživatelského účtu pomocí technického profilu Microsoft Entra ID

Technický profil Microsoft Entra ID můžete nakonfigurovat tak, aby se místo pokusu o vytvoření nového účtu aktualizoval uživatelský účet. Uděláte to tak, že pomocí následujícího kódu nastavíte technický profil Microsoft Entra ID tak, aby se zobrazila chyba, pokud zadaný uživatelský účet v kolekci ještě neexistuje Metadata . Operace musí být nastavená na Zapisovat:

    <Item Key="Operation">Write</Item>
    <Item Key="RaiseErrorIfClaimsPrincipalDoesNotExist">true</Item>

Použití vlastních atributů

V tomto článku jste se naučili ukládat podrobnosti o uživatelích pomocí předdefinovaných atributů profilů uživatelů. Často ale potřebujete vytvořit vlastní atributy pro správu konkrétního scénáře. Postupujte podle pokynů v článku Definování vlastních atributů v Azure Active Directory B2C .

Další kroky

• Zjistěte, jak nastavit tok registrace a přihlašování pro místní účet pomocí vlastních zásad Azure Active Directory B2C.

• Naučte se definovat vlastní atributy ve vlastních zásadách.

• Přečtěte si, jak přidat vypršení platnosti hesla k vlastním zásadám.

• Přečtěte si další informace o technickém profilu Microsoft Entra ID.