Azure AD B2C integrating with corporate (Azure?) AD accounts

Обновить

November 2018

Просмотры

918 раз

7

Мы хотели бы использовать Azure AD B2C для наших веб - приложений , чтобы позволить пользователям входить либо с «локальным» счетами / паролем или использовать их социальные счета (Facebook и т.д.). https://docs.microsoft.com/azure/active-directory-b2c/active-directory-b2c-overview

Однако, в этом приложении, мы, скорее всего, предназначаться организации, таким образом, мы также хотели бы интегрироваться с существующими корпоративными счетами Azure AD компании. Таким образом, пользователю не нужно создавать новый аккаунт и использовать существующий корпоративный счет.

Оказывается , что есть (новая) особенность в Azure AD B2C , которая позволяет явно указать ссылку на внешний счет Azure AD с помощью настраиваемой политики , как описано здесь: https://docs.microsoft.com/azure/active- каталог-b2c / активный каталог b2c-настройка-AAD-заказ

К сожалению, это работает только, если мы знаем заранее, какие внешние компании, нам нужно связать с и добавить в определенной конфигурации. Это также утечка информации о том, кто использует приложение, потому что названия компаний стали перечислены в качестве опции на странице входа в.

Я также посмотрел на Azure функций AD B2B, но я не думаю, что это соответствует должным образом либо.

То, что мы действительно хотели для Azure AD B2C, чтобы предложить общий знак в к (корпоративной) Microsoft учетной записи», который определяет, что адрес электронной почты уже обрабатывается в любых Azure системах AD; если она есть, то аутентификация делегатов к этой системе, но если нет, то он вернется к Azure AD B2C локальной учетной записи.

Этот общий Логин уже работает для доступа к стандартным приложениям Microsoft, такие как их порталы. Кто-нибудь знает, если это возможно в рамках Azure AD B2C, или есть какие-либо потенциальные временные рамки для того, когда это может стать возможным? Существуют ли какие-либо альтернативные системы, которые могут быть в состоянии предложить подобную функциональность?

2 ответы

3

Что вы имеете в виду оказывает Azure AD в режиме многопользовательских , добавляется в качестве поставщика удостоверений для Azure AD B2C.

От: Multi-арендаторах Azure AD Auth в Azure AD B2C с пользовательской политики

В целях поддержки многопользовательских Azure AD, вам нужно настроить ClaimsProvider в таможенных политиках с различными значениями.

Используйте значение ниже, убедившись, что вы замените client_id и IdTokenAudience.

<Item Key="DiscoverMetadataByTokenIssuer">true</Item>
<Item Key="ValidTokenIssuerPrefixes">https://sts.windows.net/</Item>
<Item Key="authorization_endpoint">https://login.microsoftonline.com/common/oauth2/authorize</Item>
<Item Key="client_id">df5b2515-a8d2-4d91-ab4f-eac6e1e416c2</Item>
<Item Key="BearerTokenTransmissionMethod">AuthorizationHeader</Item>
<Item Key="scope">openid</Item>
<Item Key="UsePolicyInRedirectUri">false</Item>
<Item Key="HttpBinding">POST</Item>
<Item Key="response_types">id_token</Item>
<Item Key="IdTokenAudience">df5b2515-a8d2-4d91-ab4f-eac6e1e416c2</Item>

ВНИМАНИЕ: Эта функция не официально даже в предварительном просмотре все же, так что используйте с осторожностью. Продолжайте контролировать официальный «Вход в систему с помощью Azure счетов AD» документации , чтобы узнать , когда это полностью документирована и поддерживается.

EDIT: Убедитесь , что вы переверните Multi-tenantedпереключатель в настройках приложения, в противном случае вы получите следующее сообщение об ошибке:

AADSTS70001: Применение с идентификатором «(справ)» не найден в каталоге (основной домен нашей компании)

1

Azure AD B2C официально не поддерживает многопользовательскую Azure AD поставщика по идентичности. Вы должны голосовать за особенность здесь , так что это может помочь расставить приоритеты это и так , что вы можете связаться , когда функция находится в режиме предварительного просмотра.

Существует потенциальный обходной путь, если у вас есть ограниченный набор арендаторов AD Azure, что вы работаете. Вы можете создать страницу в приложении, где пользователь вводит в адресе электронной почты. Основываясь на адрес электронной почты, вы можете использовать параметр domain_hint при вызове Azure AD B2C, чтобы перенаправить их непосредственно на правый знак в странице.