需要一些关于是否可以自定义Azure AD的UI流程的指导,以便我们可以基于UPN和&amp ;;执行某种级别的授权。 Tenantid,在身份验证之前。
在我的应用程序的当前状态中,当它第一次启动时,将发生身份验证,然后是同意。当身份验证流程完成时,应用程序会检查租户是否有资格获得访问权限(已授权),然后应用程序继续运行。
当前流量:身份验证>用户同意
请求的流量:检查租户ID>验证访问权限>身份验证>用户同意
需要能够控制此流程,以便我们可以在身份验证之前验证用户的电子邮件地址,以确保用户可以访问该应用。如果UPN未经授权,基本上不进行身份验证。目标是当应用程序在App Store上可用时,任何人都可以下载,希望控制登录的体验。
对于Auth,我们使用的是MSAL。此外,我们还有一个使用OpenID Connect的应用程序版本。
欣赏指导。
答案 0 :(得分:0)
根据您的说明,您的要求是在Azure AD上使用多租户应用程序时限制某些租户。 AFAIK,Azure AD当前没有应用程序配置属性,该属性映射到多租户应用程序的租户允许列表。
解决方法是通过检查JWT令牌中的tenantID(tid)声明,在应用程序中自己的代码中执行验证。控制访问权限需要在应用程序中授权用户,而不是在您的方案中进行身份验证之前。