我们正在构建一个企业产品,并期望很多客户,没有自己的活动目录 .
我们计划将AAD用作我们的IAM提供商 .
我们计划为产品创建主AAD,然后使用其企业电子邮件ID邀请每个客户(租户)的用户作为外部用户访问主AAD . 给定客户的每组用户将被添加到外部组以实现可管理性 .
这是否是支持Azure托管产品的多租户IAM的正确方法?
这是一个非常难的问题 . AAD的多租户基本上要求组织有AAD才能进行适当的分离等 .
但是如果一个组织没有AAD,这是一个选择 .
您不能忘记使用此路径的一个关键事项是打开AAD租户中的选项以限制访客用户权限 . 这使得受邀用户不仅可以访问portal.azure.com并获得租户中所有用户的完整列表 . 当多个客户在同一个租户中时,至少通常这是一个理想的事情 .
其他选择可能是:
为每位客户设置AAD租户
为客户提供良好的分离
可能会限制您可以创建的数量
我不知道你可以使用的API(但是硒Selenium有效:D)
设置您自己的身份提供者,例如IdentityServer
最大可定制性
为您开发和维护的大量工作
如果他们只有一个AAD,一切都会变得更容易:)
这取决于您想要遵循的方法的一些细节 . 如果您希望他们使用他们的企业电子邮件,那么您可能会考虑使用Single Sign-On(许多组织希望不需要复制帐户,您可能希望委托您的客户重置密码的麻烦) .
此外,您需要确定需要什么样的隔离(您希望拥有一组用户或者是否有租户明确分离?)和预算(AAD成本是按用户计算的) ? Azure AD B2C也可以是一个选项,或者@juunas提到的,用IdentityServer之类的东西实现你自己的解决方案 .
2 回答
这是一个非常难的问题 . AAD的多租户基本上要求组织有AAD才能进行适当的分离等 .
但是如果一个组织没有AAD,这是一个选择 .
您不能忘记使用此路径的一个关键事项是打开AAD租户中的选项以限制访客用户权限 . 这使得受邀用户不仅可以访问portal.azure.com并获得租户中所有用户的完整列表 . 当多个客户在同一个租户中时,至少通常这是一个理想的事情 .
其他选择可能是:
为每位客户设置AAD租户
为客户提供良好的分离
可能会限制您可以创建的数量
我不知道你可以使用的API(但是硒Selenium有效:D)
设置您自己的身份提供者,例如IdentityServer
最大可定制性
为您开发和维护的大量工作
如果他们只有一个AAD,一切都会变得更容易:)
这取决于您想要遵循的方法的一些细节 . 如果您希望他们使用他们的企业电子邮件,那么您可能会考虑使用Single Sign-On(许多组织希望不需要复制帐户,您可能希望委托您的客户重置密码的麻烦) .
此外,您需要确定需要什么样的隔离(您希望拥有一组用户或者是否有租户明确分离?)和预算(AAD成本是按用户计算的) ? Azure AD B2C也可以是一个选项,或者@juunas提到的,用IdentityServer之类的东西实现你自己的解决方案 .