Wir verfügen über eine Anwendung, die die nahtlose Anmeldung mit unserem Azure AD-Mandantenkonto über den impliziten OpenID Connect-Flow unterstützt. Wenn der Benutzer berechtigt ist, auf die App zuzugreifen, die von Azure AD ausgestellte Beweise liefert - der Zugriff wird automatisch gewährt, andernfalls zeigen wir den normalen Anmeldebildschirm für die Anwendung an.Azure AD mit prompt = none zeigt ungültige Anforderung an, wenn der Benutzer bei einem anderen Mandanten angemeldet ist
Jedes Mal, wenn eine Benutzerauthentifizierung erforderlich ist, leiten wir den Benutzer zur Anmeldeseite von Azure AD (https://login.microsoftonline.com/xyz) um, die prompt=none
angibt.
Die Einhaltung der ODIC specification solche Flagge sollte den folgenden Effekt haben.
Der Autorisierungsserver darf nicht Anzeige jeder Authentifizierung oder Seiten Benutzeroberfläche Zustimmung. Ein Fehler wird zurückgegeben, wenn ein Endnutzer nicht bereits authentifiziert ist oder der Kunde keine vorkonfigurierte Zustimmung für die angeforderten Ansprüche hat oder die anderen Bedingungen für die Bearbeitung der Anfrage nicht erfüllt. Der Fehlercode lautet normalerweise login_required, interaction_required. Dies kann als eine Methode zu Prüfung auf vorhandene Authentifizierung und/oder Zustimmung verwendet werden.
Es funktioniert im Allgemeinen wie erwartet, aber es ist ein Fall, wo Azure AD Anmeldeseite einen Fehler Bildschirm an die Endbenutzer zeigen und es geschieht, wenn Benutzer in einer anderen Azure AD Mieter angemeldet.
Benutzerkonto ‚...‘ von Identitätsanbieter ‚https://sts.windows.net/.../‘ existiert nicht Mieter ‚...‘ und kann nicht auf die Anwendung ‚...‘ in diesem Mieter. Das Konto muss zuerst als externer Benutzer im Mandanten hinzugefügt werden. Melden Sie sich mit einem anderen Azure Active Directory-Benutzerkonto unter ab und wieder an.
Die Fragen sind:
- Ist es nicht die ODIC Spezifikation verstoßen?
- Wie man solche Fälle in der nahtlosen für Benutzerart und Weise richtig behandelt? (Die App ist nicht dafür verantwortlich, was nach der Weiterleitung an Azure AD passiert).
domain_hint macht den Trick! –