假设我购买位于Azure AD Tenant 1中的多租户应用程序(HR软件)。(与资源林同义)。
我还购买了位于Azure Tenant 2中的其他公司所拥有的健康应用程序。
我不拥有租户1或2的管理权。
问题1
换句话说,我不希望黑客或其他实体在应用程序1和应用程序2之间串通和“加入”数据。
我关注的价值包括:
TenantIdenfifiers
http://schemas.microsoft.com/identity/claims/tenantid:
iss:
UserIdentifiers
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier:
http://schemas.microsoft.com/identity/claims/objectidentifier:
name
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname:
问题2
答案 0 :(得分:0)
用户的唯一标识符以及租户始终在常规Azure AD中传递。你无法对它做任何事情。
应用程序需要这些属性。租户ID用于了解您的订阅,您可以访问的数据等。用户对象ID可用于标识用户,因为用户主要名称可以更改。
但是,您的租户的用户无法登录这些租户而不会将其添加为其中的访客,并且他们会接受它。
通常,您购买订阅的应用是多租户,因此您的租户管理员必须允许登录该应用。完成此操作后,您的租户的用户可以在那里登录。在这种情况下,他们仍然会登录您的租户,但该应用已通过为其创建的服务主体授予您租户的权限。
对于Azure AD B2C,您可以影响对应用程序的声明。但问题当然是B2C不支持多租户应用程序。至少Not yet。稍后我们也可以在B2C中允许Azure AD身份验证。但即使这样,应用程序所有者也会控制声明和应用程序。