我们正在构建一个Web App / API以在Azure AD中发布,并希望通过邀请(B2B方案)外部用户进入我们的Azure AD来提供对应用程序的访问 . 这将在我们的Azure AD中创建“Guest”类型的帐户,我们将使用该帐户为应用程序分配权限 . 在这种情况下,我们是否需要将我们的应用程序配置为“多租户”?在代码中有一些步骤可以容纳多租户登录,并且Azure AD中的应用程序注册的“设置”选项卡上有一个设置,标签为“多租户”,您可以选择是或否 . 应用程序注册设置,有一个弹出的泡泡说:
指定是否允许外部组织中的用户授予您的应用程序访问其组织目录中的数据的权限
我不确定代码如何(或是否)更改以及应用程序注册设置是否相关,但我们的应用程序不需要访问我们目录之外的任何数据 .
1 回答
没有您的应用程序不需要多租户,您不需要将用户定向到/ common endpoints . 我已经对此进行了测试,您仍然可以获得一种SSO体验 .
示例paul@org1.com(归属于Org1 AAD)是Org2 AAD中的访客用户(已接受邀请) . 现在,该用户打开一个私人浏览器并登录到Org1 AAD .
然后,用户尝试使用Org2中的应用注册来访问Web应用,并且Web应用将用户重定向到https://login.microsoftonline.com/org2.onmicrosoft.com/oauth2/authorize .
结果,用户被认为是由AAD登录并被重定向到带有令牌等的redirect_url .