我使用 B2C 自定义策略登录用户。是否可以限制用户,以便他们只能从指定的 IP 地址(或范围)登录?
还可以创建声明转换来检查客户端 IP 是否受信任,如下所示。
- 创建一个声明类型,如clientIP,其类型为字符串,表示客户端的 IP:
<ClaimType Id="clientIP">
<DisplayName>Client IP Address</DisplayName>
<DataType>string</DataType>
</ClaimType>
另一种声明类型(如isTrustedIP),其布尔类型表示客户端IP 是否为受信任的 IP。
<ClaimType Id="isTrustedIP">
<DisplayName>Is Trusted IP Address</DisplayName>
<DataType>boolean</DataType>
</ClaimType>
- 创建一个SetClaimsIfRegexMatch类型的声明转换,例如SetIsTrustedIPClaim,用于检查客户端 IP 是否与受信任的 IP(例如"216.3.128.12"或 IP 地址或范围的任何正则表达式)匹配,从而将isTrustedIP声明设置为
true或false:
<ClaimsTransformation Id="SetIsTrustedIPClaim" TransformationMethod="SetClaimsIfRegexMatch">
<InputClaims>
<InputClaim ClaimTypeReferenceId="clientIP" TransformationClaimType="claimToMatch" />
</InputClaims>
<InputParameters>
<InputParameter Id="matchTo" DataType="string" Value="^216.3.128.12$" />
</InputParameters>
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="isTrustedIP" TransformationClaimType="regexCompareResultClaim" />
</OutputClaims>
</ClaimsTransformation>
- 为声明转换
- 创建技术配置文件,以便可以从业务流程步骤调用声明转换:
<ClaimsProvider>
<DisplayName>Claims Transformation</DisplayName>
<TechnicalProfiles>
<TechnicalProfile Id="ClaimsTransformation-SetIsTrustedIPClaim">
<DisplayName>Set Is Trusted IP Claims Transformation</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ClaimsTransformationProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
<Metadata>
<Item Key="IncludeClaimResolvingInClaimsHandling">true</Item>
</Metadata>
<InputClaims>
<InputClaim ClaimTypeReferenceId="clientIP" DefaultValue="{Context:IPAddress}" AlwaysUseDefaultValue="true" />
</OutputClaims>
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="isTrustedIP" />
</OutputClaims>
<OutputClaimsTransformations>
<OutputClaimsTransformation ReferenceId="SetIsTrustedIPClaim" />
</OutputClaimsTransformations>
</TechnicalProfile>
</TechnicalProfiles>
</ClaimsProvider>
- 从业务流程步骤调用声明转换技术配置文件:
<OrchestrationStep Order="1" Type="ClaimsExchange">
<ClaimsExchanges>
<ClaimsExchange Id="ClaimsTransformation-SetIsTrustedIPClaim" TechnicalProfileReferenceId="ClaimsTransformation-SetIsTrustedIPClaim" />
</ClaimsExchanges>
</OrchestrationStep>
然后,以下业务流程步骤可以根据isTrustedIP声明是设置为true还是false来允许或拒绝访问。
您可以创建一个充当块页面的自断言页面:
<TechnicalProfile Id="SelfAsserted-BlockUser">
<DisplayName>Block page</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.SelfAssertedAttributeProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null"/>
<Metadata>
<Item Key="ContentDefinitionReferenceId">api.selfasserted</Item>
<Item Key="setting.showContinueButton">false</Item>
<Item Key="setting.showCancelButton">false</Item>
</Metadata>
<InputClaimsTransformations>
<InputClaimsTransformation ReferenceId="CreateError"/>
</InputClaimsTransformations>
<InputClaims>
<InputClaim ClaimTypeReferenceId="UserMessageDenied"/>
</InputClaims>
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="UserMessageDenied" Required="true"/>
</OutputClaims>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-Noop"/>
</TechnicalProfile>
创建要显示的错误消息
<ClaimsTransformation Id="CreateError" TransformationMethod="CreateStringClaim">
<InputParameters>
<InputParameter Id="value" DataType="string" Value="Your IP is blocked." />
</InputParameters>
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="UserMessageDenied" TransformationClaimType="createdClaim" />
</OutputClaims>
</ClaimsTransformation>
然后从 userJourney 调用它来评估isTrustedIP,然后调用块页面:
<OrchestrationStep Order="3" Type="ClaimsExchange">
<Preconditions>
<Precondition Type="ClaimEquals" ExecuteActionsIf="true">
<Value>isTrustedIP</Value>
<Value>True</Value>
<Action>SkipThisOrchestrationStep</Action>
</Precondition>
</Preconditions>
<ClaimsExchanges>
<ClaimsExchange Id="BlockUser" TechnicalProfileReferenceId="Selfasserted-Blockuser" />
</ClaimsExchanges>
</OrchestrationStep>
目前 Azure AD B2C 中没有此类功能。可以在 Azure 论坛上提交反馈Microsoft。
您可以尝试自己实现,请参考以下想法。
您可以调用 REST API 并向其传递 IP 地址。可以使用声明解析程序解析 IP 地址。如果它是一个 IP 地址,则可以在策略中执行声明转换,以检查用户 IP 是否匹配。否则,如果它需要检查 ip 范围内的用户 ip,则需要在 REST API 中执行该逻辑。
与此类似的方法:
https://github.com/azure-ad-b2c/samples/tree/master/policies/relying-party-rbac https://learn.microsoft.com/en-us/azure/active-directory-b2c/claim-resolver-overview
我知道这是一个旧帖子,但是有一个新功能叫做条件访问。有关更多详细信息,请参阅文档。https://learn.microsoft.com/en-us/azure/active-directory-b2c/conditional-access-technical-profile