我们希望将Azure AD B2C用于我们的Web应用程序,以允许用户使用本地帐户/密码登录或使用其社交帐户(Facebook等)登录。
但是,在此应用程序中,我们很可能针对组织,因此我们还希望与公司现有的Azure AD公司帐户集成。这样,用户无需创建新帐户即可使用其现有公司帐户。
事实证明,Azure AD B2C中有一个(新)功能,该功能允许您使用自定义策略来明确链接到外部Azure AD帐户,如下所述:
不幸的是,这只有在我们事先知道需要与哪些外部公司链接并添加特定配置的情况下才有效。它还会泄漏有关谁在使用该应用程序的信息,因为公司名称在登录页面上列为选项。
我们真正想要的是为Azure AD B2C提供到(公司)Microsoft帐户的通用登录,该帐户可检测该电子邮件地址是否已在任何Azure AD系统中处理过;如果是,则它将身份验证委派给该系统,但如果不是,它将回退到Azure AD B2C本地帐户。
此通用登录名已经可以访问标准的Microsoft应用程序,例如其门户。有谁知道这在Azure AD B2C中是否可能,或者何时有可能实现?
为了支持多租户Azure AD,您需要使用不同的值在自定义策略中配置ClaimsProvider。
注意:此功能甚至尚未在预览中正式发布,因此请谨慎使用。继续监视官方的使用Azure AD帐户登录文档,以了解何时对此进行了完整的记录和支持。
不幸的是,这似乎不起作用。我收到很抱歉,我们无法登录。我们收到了错误的请求。 Ive使用了与用于特定租户的ID相同的client_id和idTokenAudience。还有什么我应该配置的吗?
进一步挖掘,这将指定一个错误: AADSTS70001:在目录(我们公司的主域)中找不到带有标识符(guid)的应用程序。在此测试过程中,我们根本没有引用主域。我通过Azure B2C的测试租户和用户Im的另一个测试租户来尝试所有这些操作。这如何/为什么与我们的主域连接?我们可以在这里强制断开连接吗?实际上,我们在这里应该使用什么client_id,因为显然我们不能将我们的应用程序作为客户端添加到每个目标租户AD中。
Azure AD B2C并未正式支持多租户Azure AD身份提供程序。您应该在此处对该功能进行投票,以便它可以帮助确定优先级,以便在预览功能时与您联系。
如果您使用的Azure AD租户数量有限,则有一种潜在的解决方法。您可以在应用程序中构建一个页面,用户可以在其中输入电子邮件地址。根据电子邮件地址,可以在调用Azure AD B2C时将domain_hint参数直接重定向到正确的登录页面。
那么,如果您要拥有既适合公司内部用户使用的Web应用程序(普通AD)又需要对公司外部其他用户(其他Azure AD租户,Microsoft帐户和Facebook帐户等)进行身份验证的解决方案?
您的外部用户也可以使用其内部应用程序是什么意思?如果要构建可让您的员工和客户均可登录的CUSTOMER应用程序,则应使用Azure AD B2C租户并将Azure AD添加为IdP。但是,如果这是供员工和公司合作伙伴用于工作协作的应用程序,则应使用Azure AD并研究Azure AD B2B
好的谢谢。但是,如果我希望使客户能够使用其Azure AD登录,并且我有无限的客户/组织,则无法手动将每个客户/组织手动添加为提供者。所需的功能,例如Azure AD-多租户应用程序...
