我对MS / AD的所有内容都很陌生,并且来自应用开发者方面的事情,所以如果我没有使用正确的术语,请耐心等待。我在网上的文档中找不到相关的确认信息,非常感谢任何有用的想法或链接。
场景:我的组织是O365商店,在Azure中有很多东西。一个项目是具有多个Web应用程序的自定义平台。大多数是由我们自己的人通过SSO访问,但其中一些应用程序将由我们的合作伙伴/供应商的外部用户访问。其中一些是MS商店,但大多数不是,我们不能要求MS帐户。
扭曲:我们需要将用户管理委派给我们的合作伙伴/供应商。举例来说,对于app3,我们将有大量需要访问的合作伙伴/供应商组织。我们希望让该组织的1个人有责任邀请他们的同事,并在任何人离开他们的组织时移除他们。在许多情况下,它们不一定具有相同的电子邮件地址域,因此我们不能以这种方式限制/分组。在其他情况下,我们需要一个全球性组织的每个国家办事处都有自己的委派管理员来管理员工,因此可能会有单独的组织与具有相同电子邮件地址域的用户。
我的问题:Azure AD B2C是否适合这种方法? 它可以支持这种委托管理(类似https://docs.microsoft.com/en-us/azure/active-directory/active-directory-accessmanagement-self-service-group-management)吗?
我们是否需要为每个外部组织配置单独的Azure AD B2C目录,还是应该是一个Azure AD B2C目录中的组?
答案 0 :(得分:1)
此时 Azure AD B2C中没有对用户管理委派的开箱即用支持,无论是使用本地(.onmicrosoft.com)向其他B2C管理员委派用户管理使用本地(@ myemail.com)或社交帐户的帐户或外部用户。 Azure AD B2C也不支持self-service group management capabilities。您可以在Azure AD B2C feedback forum。
中请求其中任何一项这些应用程序的相同实例是否会支持来自这些多个组织的人员?
如果答案为否,意味着您将为组织A创建一个应用程序实例,而为组织B创建另一个实例,则您肯定可以拥有多个Azure AD B2C目录,并将每个应用程序连接到每个目录。
如果这些应用的单个实例需要支持多个这样的组织,那么我可以为您考虑两个选项:
使用Azure AD B2C并自行构建所有委派和用户管理逻辑。您可以custom attributes为用户分配“组织”,另一个用户可以指示他们是否可以管理用户。然后,您需要创建一个用户管理UI,用于查询同一“组织”中的所有用户的Graph,并让用户管理这些用户。您还需要构建邀请功能,首先通过Azure AD Graph创建用户并相应地设置其“组织”声明,然后通过将用户引导至密码重置策略作为其“帐户验证”流程来构建此UI
使用Azure AD和B2B协作功能(包括其delegate invitations的功能)。这也会打开您引用的self-service group management capabilities。如果您不希望这些用户访问组织中的其他内容,您可能希望为此创建单独的Azure AD租户,并通过B2B协作邀请Azure AD中的人员。
从概念上讲,B2C适用于外部用户,而Azure AD适用于内部用户,B2B可以与那些与内部用户进行足够协作的合作伙伴补充这些内部用户,几乎可以将其视为内部用户。话虽如此,请使用最适合您需求的产品。不要忘记记住他们的定价模式是非常不同的。