#azure-active-directory
#azure-active-directory
Вопрос:
есть ли какой-либо способ (параметр запроса аутентификации OIDC), который я мог бы использовать, чтобы запретить AAD обнаруживать учетную запись при отправке пользователя моему клиенту AAD (not / common)? В настоящее время AAD отображает страницу с запросом электронной почты пользователя (я полагаю, в случае, если пользователь является пользователем B2B в моем каталоге) и только после этого отправляет пользователя в мою ADFS (моя служба федерации). Я хотел бы, чтобы пользователь мог видеть только ADFS.
Комментарии:
1. Я думаю, что если вы установите
domain_hint=yourdomain.comURL-адрес авторизации, он определит, что вы хотите войти в систему пользователя из федеративного домена и перенаправить его в ADFS.2. Нет, это не так. Я уже пробовал это. Именно так я в первую очередь попадаю на страницу входа в систему AAD. Однако на данном этапе AAD не знает, буду ли я использовать объединенный локальный (например, @abc.onmicrosoft.com ) или B2B-аккаунт (я полагаю). Я ищу способы сообщить AAD, что пользователь является федеративным.
3.
domain_hintв основном работает хорошо.. в тех случаях, когда я видел сбой, URL-адрес входа (для конечной точки / авторизации) использовал явныйpromptпараметр со значениями типаloginилиselect_account, который прерывает единый вход. так что, я думаю, вам следует проверить.. Если это так, попробуйте удалитьpromptи дайте мне знать.. Я могу ответить более подробно.. Если это все еще не работает, пожалуйста, поделитесь подробным URL-адресом, который создается для страницы с запросом электронной почты пользователя4. Да, удаление prompt= и добавление domain_hint= делает свое дело.
Ответ №1:
предложение @juunas использовать domain_hint= parameter и @Rohit для удаления login= parameter сделало свое дело. Спасибо!