AAD B2C: "Claims resolvers" w "GenerateJson" #472

krukowskid · 2022-12-23T13:13:23Z

krukowskid
Dec 23, 2022

Hej,
mam takie flow:

frontend w przypadku resetu hasła/rejestracji odbija usera na b2c i przesyła dodatkowe atrybuty w query string (w tym przypadku jest to tenant_id, ale w kontekście tenanta w aplikacji, a nie b2c)
podczas tworzenia konta/resetu hasła generowany jest JSON i wysyłany jest POST na gateway aplikacji i kierowany na serwis, który wysyła email z kodem do użytkownika

Mój problem:
Nie umiem zmusić b2c do przetransformowania z "Claims resolvers" OAUTH-KV:tenant_id (z query string) i Culture:LanguageName (z b2c) . Claimy są rozwiązanywane jako "unknown" i są pomijane przy generowaniu jsona przez co backend zwraca "bad request"

Uproszczone polityki:

      <ClaimType Id="OAUTH-KVtenant_id">
        <DisplayName>query string tenant id</DisplayName>
        <DataType>string</DataType>
      </ClaimType>
      <ClaimType Id="CultureLanguageName">
        <DisplayName>user language</DisplayName>
        <DataType>string</DataType>
      </ClaimType>

metadata i output claims próbowałem dodawać w różnych TechnicalProfiles:

  <ClaimsProviders>
    <ClaimsProvider>
      <DisplayName>Local Account</DisplayName>
      <TechnicalProfiles>
        <!--Sample: Sign-up self-asserted technical profile without Email verification-->
        <TechnicalProfile Id="LocalAccountSignUpWithReadOnlyEmail">
...
            <Item Key="IncludeClaimResolvingInClaimsHandling">true</Item>
          </Metadata>
...
            <OutputClaim ClaimTypeReferenceId="displayName" DefaultValue="unknown" />
            <OutputClaim ClaimTypeReferenceId="OAUTH-KVtenant_id" DefaultValue="{OAUTH-KV:tenant_id}" AlwaysUseDefaultValue="true" />
            <OutputClaim ClaimTypeReferenceId="CultureLanguageName" PartnerClaimType="{Culture:LanguageName}"
...
      </TechnicalProfiles>
    </ClaimsProvider>
  </ClaimsProviders>

claims transformation do generowania jsona

    <ClaimsTransformations>
      <ClaimsTransformation Id="GenerateOtpEmailRequestBody" TransformationMethod="GenerateJson">
        <InputClaims>
          <InputClaim ClaimTypeReferenceId="email" TransformationClaimType="toEmail" />
          <InputClaim ClaimTypeReferenceId="otp" TransformationClaimType="templateVariables.otp" />
          <InputClaim ClaimTypeReferenceId="OAUTH-KVtenant_id" TransformationClaimType="tenant" />
          <InputClaim ClaimTypeReferenceId="CultureLanguageName" TransformationClaimType="language" />
        </InputClaims>
        <InputParameters>
          <InputParameter Id="emailType" DataType="string" Value="SignUp"/>
        </InputParameters>
        <OutputClaims>
          <OutputClaim ClaimTypeReferenceId="otpEmailRequestBody" TransformationClaimType="outputClaim"/>
        </OutputClaims>
      </ClaimsTransformation>

ale efekt ten sam (log z application insights)

"Key": "ClaimsTransformation",
"Value": {
  "Values": [
    {
      "Key": "Id",
      "Value": "GenerateOtpEmailRequestBody"
    },
    {
      "Key": "InputClaim",
      "Value": {
        "PolicyClaimType": "email",
        "Value": "krukowskid@github.com"
      }
    },
    {
      "Key": "InputClaim",
      "Value": {
        "PolicyClaimType": "Otp",
        "Value": "861313"
      }
    },
    {
      "Key": "InputClaim",
      "Value": {
        "PolicyClaimType": "OAUTH-KVtenant_id",
        "Value": "undefined"
      }
    },
    {
      "Key": "InputClaim",
      "Value": {
        "PolicyClaimType": "CultureLanguageName",
        "Value": "undefined"
      }
    }
...

jakieś wskazówki jak to skonfigurować poprawnie?

Answered by krukowskid

Jan 17, 2023

tak jak w linku pewnie by zadziałało, ale to też dodatkowy technical profile, bo jest:
Blok claims transformation
https://learn.microsoft.com/en-us/azure/active-directory-b2c/claimstransformations
i claims transformation technical profile, które podlinkowałeś
https://learn.microsoft.com/en-us/azure/active-directory-b2c/claims-transformation-technical-profile

udało mi się rozwiązać temat tak:

    <ClaimsSchema>
      <ClaimType Id="OAUTHKVtenantId">
        <DisplayName>tenant id from query string</DisplayName>
        <DataType>string</DataType>
      </ClaimType>
      <ClaimType Id="CultureLanguageName">
        <DisplayName>user language name</DisplayName>
        <DataType>string</Dat…

View full answer

mgrabarz · 2022-12-23T20:57:24Z

mgrabarz
Dec 23, 2022
Maintainer

Tyle już czasu przy tym nie siedziałem, ze dla mnie to niemal czarna magia.

Mam tylko jedną sugestie, być może pomocną. Według tej tabelki Claim Resolvery działają bezpośrednio w ClaimsTransformation InputClaims. Po co wiec je przerzucasz przez inne TP?

Edit: brakuje też AlwaysUseDefaultValue w tym drugim Resolverze.

3 replies

krukowskid Dec 27, 2022
Author

Tak, rzeczywiście brakuje. Albo coś uciąłem przy kopiowaniu, albo w międzyczasie poprawiłem, bo u mnie jest ok. Co do przerzucania przez TP to do claim resolverów potrzebne jest

        <Metadata>
          <Item Key="IncludeClaimResolvingInClaimsHandling">true</Item>
        </Metadata>

Bez tego ich nie rozwiązuje i wrzuca w json'a stringa z wartością "{OAUTH-KV:tenant_id}". Niestety ClaimsTransformation nie obsługuje metadata. Po kolejnych niezliczonych ilości prób (dopiero 23 :D) widzę światełko w tunelu. Jak zmęcze temat to podziele się rozwiązaniem.

mgrabarz Dec 27, 2022
Maintainer

Tu twierdzą, ze obsługuje... https://learn.microsoft.com/en-us/azure/active-directory-b2c/claims-transformation-technical-profile#metadata

krukowskid Jan 17, 2023
Author

tak jak w linku pewnie by zadziałało, ale to też dodatkowy technical profile, bo jest:
Blok claims transformation
https://learn.microsoft.com/en-us/azure/active-directory-b2c/claimstransformations
i claims transformation technical profile, które podlinkowałeś
https://learn.microsoft.com/en-us/azure/active-directory-b2c/claims-transformation-technical-profile

udało mi się rozwiązać temat tak:

    <ClaimsSchema>
      <ClaimType Id="OAUTHKVtenantId">
        <DisplayName>tenant id from query string</DisplayName>
        <DataType>string</DataType>
      </ClaimType>
      <ClaimType Id="CultureLanguageName">
        <DisplayName>user language name</DisplayName>
        <DataType>string</DataType>
      </ClaimType>
    </ClaimsSchema>

    <ClaimsProvider>
      <DisplayName>One time password technical profiles</DisplayName>
      <TechnicalProfiles>
        <TechnicalProfile Id="GenerateOtp">
          <DisplayName>Generate one time password</DisplayName>
          <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.OneTimePasswordProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
          <Metadata>
            <Item Key="Operation">GenerateCode</Item>
            <Item Key="CodeExpirationInSeconds">1200</Item>
            <Item Key="CodeLength">6</Item>
            <Item Key="CharacterSet">0-9</Item>
            <Item Key="ReuseSameCode">true</Item>
            <Item Key="NumRetryAttempts">5</Item>
            <Item Key="IncludeClaimResolvingInClaimsHandling">true</Item>
          </Metadata>
          <InputClaims>
            <InputClaim ClaimTypeReferenceId="email" PartnerClaimType="identifier" />
            <InputClaim ClaimTypeReferenceId="CultureLanguageName" AlwaysUseDefaultValue="true" DefaultValue="{Culture:LanguageName}" />
            <InputClaim ClaimTypeReferenceId="OAUTHKVtenantId" AlwaysUseDefaultValue="true" DefaultValue="{OAUTH-KV:tenant_id}" />
          </InputClaims>
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="otp" PartnerClaimType="otpGenerated" />
            <OutputClaim ClaimTypeReferenceId="email" />
            <OutputClaim ClaimTypeReferenceId="CultureLanguageName" />
            <OutputClaim ClaimTypeReferenceId="OAUTHKVtenantId" />
          </OutputClaims>
        </TechnicalProfile>
   </ClaimsProvider>

    <ClaimsTransformations>
      <ClaimsTransformation Id="GenerateEmailRequestBody" TransformationMethod="GenerateJson">
        <InputClaims>
          <InputClaim ClaimTypeReferenceId="email" TransformationClaimType="toEmail" />
          <InputClaim ClaimTypeReferenceId="otp" TransformationClaimType="templateVariables.otp" />
          <InputClaim ClaimTypeReferenceId="OAUTHKVtenantId" TransformationClaimType="tenant" />
          <InputClaim ClaimTypeReferenceId="CultureLanguageName" TransformationClaimType="language" />
        </InputClaims>
        <OutputClaims>
          <OutputClaim ClaimTypeReferenceId="emailRequestBody" TransformationClaimType="outputClaim"/>
        </OutputClaims>
      </ClaimsTransformation>
    </ClaimsTransformations>

i w self asserted technical profile

<OutputClaim ClaimTypeReferenceId="OAUTHKVtenantId" AlwaysUseDefaultValue="true" DefaultValue="{OAUTH-KV:tenant_id}" />

niezbyt jestem zadowolony z takiego podejścia, bo mam scalone to z tp dla OTP, ale na ten moment mam dwa przypadki, w których potrzebuję tych parametrów czyli signup, który wykorzystuje otp i password reset, który też wymaga otp, więc jest to do zaakceptowania.
Przy kolejnym grzebaniu w trust framework policies spróbuję to uprościć i uładnić. Jak się uda zrobić to lepiej to zaktualizuję temat.

Answer selected by krukowskid

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

AAD B2C: "Claims resolvers" w "GenerateJson" #472

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{editor}}'s edit

{{editor}}'s edit

Uh oh!

Replies: 1 comment 3 replies

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{editor}}'s edit

{{editor}}'s edit

Uh oh!

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{editor}}'s edit

{{editor}}'s edit

Uh oh!

Select a reply

Uh oh!

AAD B2C: "Claims resolvers" w "GenerateJson" #472

Uh oh!

Uh oh!

krukowskid Dec 23, 2022

Replies: 1 comment · 3 replies

Uh oh!

Uh oh!

mgrabarz Dec 23, 2022 Maintainer

Uh oh!

krukowskid Dec 27, 2022 Author

Uh oh!

mgrabarz Dec 27, 2022 Maintainer

Uh oh!

Uh oh!

krukowskid Jan 17, 2023 Author

krukowskid
Dec 23, 2022

Replies: 1 comment 3 replies

mgrabarz
Dec 23, 2022
Maintainer

krukowskid Dec 27, 2022
Author

mgrabarz Dec 27, 2022
Maintainer

krukowskid Jan 17, 2023
Author