Azure B2C SAML 身份验证 - AuthRequest 没有断言消费者服务 URL 错误

Question

我已按照 https://docs.microsoft.com/en-us/azure/active-directory-b2c/saml-service-provider?tabs=windows&pivots=b2c-custom-policy

中的步骤操作

测试时在 AuthRequest 中收到错误“Application registered corresponding to IssuerUri "">xyz.com/suite" does not have assertion consumer service URL "">xyz.com/suite /saml/AssertionConsumer" 在其元数据中指定。"

使用 SAML 跟踪器，我可以看到我的 SAML 请求和响应都包含相同的 AssertionConsumerServiceURL。 MS 文档说：如果您选择在应用程序清单中配置回复 URL 和注销 URL，而不通过 samlMetadataUrl 属性 填充应用程序的元数据端点，Azure AD B2C 将不会验证 SAML请求签名，也不会加密 SAML 响应。

我可以在 SP 元数据 URL 中为 B2C_1A_signup_signin_saml 自定义策略中的依赖方指定 PartnerEntity。 https://github.com/MicrosoftDocs/azure-docs/issues/61603

不幸的是，我的 Web 应用程序安全合规性不允许提供 SP 元数据端点。 我是否需要在 Azure 存储帐户上托管 SP/Appian SAML 元数据文件，或者是否必须提供 SP 元数据端点以从 Idp 应用程序注册清单中引用？

第二个问题，想确认下。 来自 MS Ref. doc：您可以更改 SAML 令牌颁发者技术配置文件中 IssuerUri 元数据项的值。此更改将反映在 Azure AD B2C 的 SAML 响应中返回的 issuerUri 属性中。您的应用程序应配置为在 SAML 响应验证期间接受相同的 issuerUri。

我对上一段的问题， IssueUri 示例可以是 .onmicrosoft.com/c3bcfc1c-1234-4a3b-96e6-db0933071234（应用程序/客户端 ID）是否正确？

谢谢。

Answer 1

“请求中提供的用户名或密码无效”- 此问题已通过授予“IdentityExperienceFramework”（User_impersonation - 委托类型）API 权限得到解决。我在 MS 文档指南中看不到此解决方案，但这已经解决了我的问题。谢谢。