Azure Active Directory-支持2个域的应用程序
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Azure Active Directory-支持2个域的应用程序相关的知识,希望对你有一定的参考价值。
我有一个用于验证用户身份的Azure Active Directory应用程序,当前使用的机制是单租户,现在我需要另一个电子邮件域来访问我的应用程序(只有两个域,而没有任何组织电子邮件) 。
例如,.domain1和.domain2仅可以使用该应用程序并对我的应用程序进行身份验证。
任何想法我能做什么?
好吧,我写了整篇文章https://joonasw.net/view/best-practices-for-n-tenant-azure-ad-applications。
该应用需要注册为多租户,因为没有允许特定租户的选项。您的后端尤其应该定义有效的颁发者,因此两个AAD租户的颁发者URI。这样,为另一个租户发行的令牌将被视为无效。典型的多租户应用可能会禁用发行者验证,但您不能这样做。
然后,您必须考虑如何登录。您可以使用组织端点,但这确实允许用户使用其他租户登录,这很可能是偶然的。这种方法的优势在于它是单个身份验证URL。缺点是这些租户中的来宾帐户(外部)不起作用。
另一个选项是以某种方式检测用户应使用的租户,或向用户提供选择。然后使用特定于租户的端点进行身份验证。这样的优势是可以与所有类型的帐户一起很好地工作。使应用程序端的登录过程更加复杂的缺点。
以上是关于Azure Active Directory-支持2个域的应用程序的主要内容,如果未能解决你的问题,请参考以下文章
Azure Active Directory document ---reading notes
Azure B2C 来宾(外部 Azure Active Directory)X 成员(联合 Azure Active Directory)
Azure中Active Directory中定价层的主要区别是什么?
Azure Active Directory 和 ASP.NET Core 的混合身份验证和单点登录