Azure AD B2C招待トークンを検証した後にユーザーを登録

Question

Azure AD B2Cを使用して、ユーザーがTenant Directoryに登録するために使用できるサインアップポリシーを作成します。

Azure AD B2CでSignUpポリシーを作成した後、ユーザーを登録するためのエンドポイントを取得します。エンドポイントは、次のようになります。

https://login.microsoftonline.com/tenantname.onmicrosoft.com/oauth2/v2.0/authorize?p=XXX&client_id=XXX&nonce=defaultNonce&redirect_uri=XXX&scope=openid&response_type=id_token&prompt=login

私はプログラム的に上記とInvitationTokenからエンドポイントを含む電子メールアドレスに電子メールを送信します。エンドポイントが電子メールから開かれ、ユーザーが登録し、最終ステップで電子メールで受け取ったInvitationTokenの入力を求められます。

私は、この段階で検証を実行します。私は、ユーザーが入力したInvitationTokenがメールで受け取ったInvitationTokenと同じであるかどうかをチェックしたいと思います。彼が入力したInvitationTokenが無効な場合、私はユーザーが自分のテナントディレクトリに登録できるようにしたくありません。

私はこれを実行する方法がわかりません。私は回避策を実装することしかできません。

私は、電子メールで受け取ったInvitationTokenと登録ステップで入力したInvitationTokenを持つユーザーをテーブルに保存します。 2つのInvitationTokensが異なる場合、ユーザーは自分のアプリケーションを使用できなくなります。しかし、ユーザーはまだAzure Portalで作成され、Portalにログインすることができます。

ユーザーが登録ステップで無効なInvitationTokenを入力した場合、Tenant Directoryに登録できないようにする方法はありますか？

Answer 1

次の2つのオプションがあります。

1. があなたのサインアップポリシーに入力クレームを送信します。詳細はthis SO answerを参照してください。
2. ユーザーが提供するInvitationTokenを検証します。このガイドを参照してください：Integrate REST API claims exchanges in your Azure AD B2C user journey as validation on user input

---

両方のオプションががcustom policies *が必要です。

*カスタムポリシーは、主に複雑なシナリオに対処する必要があるID管理者向けに設計されています。 AADB2C: Send email invitation for new user to sign up

：

---

このため、既存の機能要求があります