azure - 初始密码更改后，在 AzureAD B2C 中使用“forceChangePasswordNextLogin”创建的本地帐户无法再登录

问题描述

我有一个通过 AzureAD Graph API 在 AzureAD B2C 租户中创建本地帐户的 WebAPI。创建用户后，他们会收到一封包含临时密码的邀请电子邮件。用户在 Graph API 中创建，并带有密码配置文件，以强制他们在首次登录时更改其临时密码。

user.PasswordProfile = new PasswordProfile();
user.PasswordProfile.Password = GetTemporaryPassword();
user.PasswordProfile.ForceChangePasswordNextLogin = true;

当用户第一次登录（通过 B2C 登录策略）时，系统会有效地提示更改其密码，并且到目前为止一切正常。

用户登录后，如果他退出然后尝试立即登录，则身份验证始终失败并显示错误消息We don't recognize this user ID or password. Please try again. Forgot your password?。
如果他使用之前的临时密码，则看起来身份验证成功，但会要求他再次更改密码。在那个视图中，Current password不匹配原始临时密码而是最新密码。

我从 Graph API 确认比第一次登录之前，PasswordProfile仍然附加到用户。

{
    "odata.type": "Microsoft.DirectoryServices.User",
    "objectType": "User",
    "objectId": "00000000-0000-0000-0000-000000000000",
    ...
    "passwordProfile": {
        "password": null,
        "forceChangePasswordNextLogin": true,
        "enforceChangePasswordPolicy": false
    },
    ...
}

然后在初始密码更改后，PasswordProfile强制密码重置不再在这里。

{
    "odata.type": "Microsoft.DirectoryServices.User",
    "objectType": "User",
    "objectId": "00000000-0000-0000-0000-000000000000",
    ....
    "passwordPolicies": null,
    "passwordProfile": null,
    ....
}

此时，用户能够登录的唯一解决方案是等待一段时间（5-10 分钟），然后才能使用其最新密码登录。

关于造成这种延迟的原因有什么想法吗？
更重要的是，如何避免这种延迟以及与之相关的糟糕的用户体验？

标签： azureazure-active-directoryazure-ad-b2cazure-ad-graph-api