Azure Active Directory-支持2个域的应用程序

Posted 2021-04-12

我有一个用于验证用户身份的Azure Active Directory应用程序，当前使用的机制是单租户，现在我需要另一个电子邮件域来访问我的应用程序（只有两个域，而没有任何组织电子邮件） 。

例如，.domain1和.domain2仅可以使用该应用程序并对我的应用程序进行身份验证。

任何想法我能做什么？

答案

我假设您是指两个AAD租户。

好吧，我写了整篇文章https://joonasw.net/view/best-practices-for-n-tenant-azure-ad-applications。

该应用需要注册为多租户，因为没有允许特定租户的选项。您的后端尤其应该定义有效的颁发者，因此两个AAD租户的颁发者URI。这样，为另一个租户发行的令牌将被视为无效。典型的多租户应用可能会禁用发行者验证，但您不能这样做。

然后，您必须考虑如何登录。您可以使用组织端点，但这确实允许用户使用其他租户登录，这很可能是偶然的。这种方法的优势在于它是单个身份验证URL。缺点是这些租户中的来宾帐户（外部）不起作用。

另一个选项是以某种方式检测用户应使用的租户，或向用户提供选择。然后使用特定于租户的端点进行身份验证。这样的优势是可以与所有类型的帐户一起很好地工作。使应用程序端的登录过程更加复杂的缺点。