你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Microsoft Graph 管理 Azure AD B2C
利用 Microsoft Graph,可以管理 Azure AD B2C 目录中的资源。 支持用于管理 Azure AD B2C 资源(包括用户、标识提供者、用户流、自定义策略和策略密钥)的下列 Microsoft Graph API 操作。 以下各部分中的每个链接对应于 Microsoft Graph API 参考中该操作的相应页面。
注意
还可以以编程方式创建 Azure AD B2C 目录本身,以及链接到 Azure 订阅的相应 Azure 资源。 此功能不是通过 Microsoft Graph API 公开的,而是通过 Azure REST API 公开的。 有关详细信息,请参阅 B2C 租户 - 创建。
观看此视频,了解如何使用 Microsoft Graph API 迁移 Azure AD B2C 用户。
先决条件
- 若要使用 MS Graph API 并与 Azure AD B2C 租户中的资源交互,需要进行应用程序注册来获取这样做的权限。 请执行注册 Microsoft Graph 应用程序一文中的步骤,以便创建供管理应用程序使用的应用程序注册。
用户管理
注意
Azure AD B2C 目前不支持对目录对象使用高级查询功能。 这意味着不支持 $count
、$search
查询参数和 Not (not
)、Not equals (ne
) 以及在 $filter
查询参数中以 (endsWith
) 运算符结尾。 有关详细信息,请参阅 Microsoft Graph中的查询参数 和 Microsoft Graph 中的高级查询功能。
用户电话号码管理
可供用户使用短信、语音呼叫或多重身份验证进行登录的电话号码。 有关详细信息,请参阅 Microsoft Entra 身份验证方法 API。
请注意,列表操作仅返回已启用的电话号码。 应启用以下电话号码来与列表操作一起使用。
注意
表示形式正确的电话号码会以在国家/地区代码和电话号码之间加入空格的形式进行存储。 默认情况下,Azure AD B2C 服务目前不添加此空间。
自助式密码重置电子邮件地址
一种电子邮件地址,用户名登录帐户可以使用它来重置密码。 有关详细信息,请参阅 Microsoft Entra 身份验证方法 API。
软件 OATH 令牌身份验证方法
软件 OATH 令牌是基于软件的数量生成器,它使用基于 OATH 时间一次的密码 (TOTP) 身份验证器应用进行多重身份验证。 使用 Microsoft Graph API 管理注册到用户的软件 OATH 令牌:
标识提供者
管理 Azure AD B2C 租户中的用户流可用的标识提供者。
用户流 (beta)
配置用于注册、登录、组合式注册和登录、密码重置和配置文件更新的预先生成的策略。
用户流身份验证方法(beta 版本)
选择允许用户通过本地帐户进行注册的机制。 本地帐户是 Azure AD B2C 对其进行标识断言的帐户。 有关详细信息,请参阅 b2cAuthenticationMethodsPolicy 资源类型。
自定义策略 (beta)
下列操作可用于管理你的 Azure AD B2C 信任框架策略(称为自定义策略)。
策略密钥 (beta)
Identity Experience Framework 存储着自定义策略中引用的机密,以在组件之间建立信任关系。 这些机密可以是对称或非对称密钥/值。 在 Azure 门户中,这些实体显示为策略密钥。
Microsoft Graph API 中策略密钥的顶层资源是信任的框架密钥集。 每个密钥集都包含至少一个密钥。 若要创建密钥,请先创建一个空的密钥集,然后在密钥集中生成一个密钥。 你可以创建手动机密、上传证书或 PKCS12 密钥。 密钥可以是某个生成的机密、某个字符串(例如 Facebook 应用程序机密),或者是你上传的某个证书。 如果密钥集具有多个密钥,则只有其中一个密钥处于活动状态。
信任框架策略密钥集
信任框架策略密钥
应用程序
应用程序扩展(目录扩展)属性
应用程序扩展属性也称为目录或 Microsoft Entra 扩展。 若要在 Azure AD B2C 中管理这些属性,请使用 identityUserFlowAttribute 资源类型及其关联的方法。
每位用户最多可以存储 100 个目录扩展值。 若要管理用户的目录扩展属性,请在 Microsoft Graph 中使用以下用户 API。
对于用户流,可使用 Azure 门户管理这些扩展属性。 对于自定义策略,Azure AD B2C 在策略首次向扩展属性中写入值时替你创建属性。
注意
在 Microsoft Entra ID 中,将通过 extensionProperty 资源类型及其关联的方法管理目录扩展。 但是,由于它们通过不应更新的 b2c-extensions-app
应用在 B2C 中使用,因此将使用 identityUserFlowAttribute 资源类型及其关联的方法在 Azure AD B2C 中对其进行管理。
租户使用情况
使用获取组织详细信息 API 获取目录大小配额。 需要添加 $select
查询参数,如以下 HTTP 请求所示:
GET https://graph.microsoft.com/v1.0/organization/organization-id?$select=directorySizeQuota
将 organization-id
替换为你的组织或租户 ID。
对上述请求的响应类似于以下 JSON 代码片段:
{
"directorySizeQuota": {
"used": 156,
"total": 1250000
}
}
审核日志
若要详细了解如何访问 Azure AD B2C 审核日志,请参阅访问 Azure AD B2C 审核日志。
条件性访问
检索或还原已删除的用户和应用程序
只能恢复在最近 30 天内删除的用户和应用。
如何以编程方式管理 Microsoft Graph
需要管理 Microsoft Graph 时,可以使用应用程序权限将其作为应用程序进行管理,也可以使用委托的权限。 对于委托的权限,需要用户或管理员同意应用请求的权限。 当应用调用目标资源时,它被委托了充当已登录用户的权限。 应用程序权限由不需要登录用户在场的应用使用,由于这些应用不需要登录用户在场,因此需要应用程序权限。 因此,只有管理员才能同意应用程序权限。
注意
通过用户流或自定义策略登录的用户的委托权限不能针对 Microsoft 图形 API 的委托权限使用。
代码示例:如何以编程方式管理用户帐户
此代码示例是一个 .NET Core 控制台应用程序,它使用 Microsoft Graph SDK 来与 Microsoft Graph API 交互。 其中的代码演示了如何调用 API 来以编程方式管理 Azure AD B2C 租户中的用户。 可以下载示例存档 (*.zip),在 GitHub 中浏览存储库,或克隆存储库:
git clone https://github.com/Azure-Samples/ms-identity-dotnetcore-b2c-account-management.git
获取代码示例后,根据环境对其进行配置,然后生成项目:
在 Visual Studio 或 Visual Studio Code 中打开项目。
打开
src/appsettings.json
。在
appSettings
部分,将your-b2c-tenant
替换为租户的名称,将Application (client) ID
和Client secret
替换为管理应用程序注册的值。 有关详细信息,请参阅注册 Microsoft Graph 应用程序。在存储库的本地克隆中打开控制台窗口,切换到
src
目录,然后生成项目:cd src dotnet build
使用
dotnet
命令运行应用程序:dotnet bin/Debug/netcoreapp3.1/b2c-ms-graph.dll
应用程序将显示可执行的命令列表。 例如,获取所有用户、获取单个用户、删除用户、更新用户的密码和批量导入。
注意
要使应用程序能够更新用户帐户密码,需要向应用程序授予用户管理员角色。
代码探讨
示例代码使用 Microsoft Graph SDK,旨在简化可访问 Microsoft Graph 的优质、高效且可复原的应用程序的生成。
对 Microsoft Graph API 发出的任何请求都需要使用访问令牌进行身份验证。 该解决方案利用 Microsoft.Graph.Auth NuGet 包,该包提供 Microsoft 身份验证库 (MSAL) 的基于身份验证方案的包装器,以便与 Microsoft Graph SDK 配合使用。
Program.cs 文件中的 RunAsync
方法:
- 从 appsettings.json 文件读取应用程序设置
- 使用 OAuth 2.0 客户端凭据授予流初始化身份验证提供程序。 应用可以使用客户端凭据授予流获取用于调用 Microsoft Graph API 的访问令牌。
- 使用身份验证提供程序设置 Microsoft Graph 服务客户端:
// Read application settings from appsettings.json (tenant ID, app ID, client secret, etc.)
AppSettings config = AppSettingsFile.ReadFromJsonFile();
// Initialize the client credential auth provider
var scopes = new[] { "https://graph.microsoft.com/.default" };
var clientSecretCredential = new ClientSecretCredential(config.TenantId, config.AppId, config.ClientSecret);
var graphClient = new GraphServiceClient(clientSecretCredential, scopes);
然后,在 UserService.cs 中使用初始化的 GraphServiceClient 来执行用户管理操作。 例如,获取租户中的用户帐户列表:
public static async Task ListUsers(GraphServiceClient graphClient)
{
Console.WriteLine("Getting list of users...");
try
{
// Get all users
var users = await graphClient.Users
.Request()
.Select(e => new
{
e.DisplayName,
e.Id,
e.Identities
})
.GetAsync();
// Iterate over all the users in the directory
var pageIterator = PageIterator<User>
.CreatePageIterator(
graphClient,
users,
// Callback executed for each user in the collection
(user) =>
{
Console.WriteLine(JsonSerializer.Serialize(user));
return true;
},
// Used to configure subsequent page requests
(req) =>
{
Console.WriteLine($"Reading next page of users...");
return req;
}
);
await pageIterator.IterateAsync();
}
catch (Exception ex)
{
Console.ForegroundColor = ConsoleColor.Red;
Console.WriteLine(ex.Message);
Console.ResetColor();
}
}
使用 Microsoft Graph SDK 发出 API 调用中介绍了如何在 Microsoft Graph 中读取和写入信息,使用 $select
控制返回的属性,提供自定义查询参数,以及使用 $filter
和 $orderBy
查询参数。
后续步骤
- 有关 JavaScript 和 Node.js 中的代码示例,请参阅:使用 MSAL.js 和 Microsoft Graph SDK 管理 B2C 用户帐户
- 探索 Graph Explorer,它可供试用 Microsoft Graph API 并了解它们。