可以说我设置并创建了一个新的Azure帐户和订阅。 Azure自动为我创建一个名为“ somedomain.onmicrosoft.com ”的Azure AD。
稍后,我将REST API和Angular SPA应用程序部署到Azure。由于我将Azure AD用于两个应用程序的身份验证和授权,因此我在Azure AD的域“ somedomain.onmicrosoft.com ”下注册了它们。
一切正常,但是一段时间后,我意识到我希望允许其他组织访问我的服务/应用程序。经过研究后,我意识到我想要实现的是多租户。
为了注册新的 tenant ,我需要执行以下操作:
接下来,我根据this documentation更新我的注册应用程序(在“ somedomain.onmicrosoft.com ”上)-启用多租户和通用端点。
所有这些之后,来自广告“ somedomain.onmicrosoft.com ”和“ tenant-1.onmicrosoft.com ”的用户都应该能够进行身份验证和访问我的服务。
问题
这是实现和实施多租户的正确方法吗?
答案 0 :(得分:2)
您不需要创建新的Azure AD租户(xyz.onmicrosoft.com)。只需在现有租户中注册该应用程序或将现有应用程序标记为多租户。然后,现有的其他AAD租户将无需注册即可注册使用您的应用程序。您将需要修改您的应用代码以接受来自其他租户的令牌,例如enter link description here该链接指向常规的.NET Web应用程序,而不是SPA。您将需要将其转换为您的SPA环境。
答案 1 :(得分:0)
我不确定您的高级用例,但是关于AAD多租户方法需要注意的一件事。您假设登录的人具有Azure AD租户,例如通过Office365。
如果他们没有Azure AD,则将无法登录。
您可以“为每个新租户创建一个AAD并在其中创建一个用户帐户”。 他们将拥有bob@mydomain.onmicrosoft.com地址,以后可以添加自己的域。
这样,他们便可以利用AzureAD的所有企业功能。 这可能是一个用例,但我认为您需要为每个租户提供AAD,并且我不确定限制或最佳实践。
如果您想要社交登录/其他OpenIDConnect,也可以查看B2C。