我们正在构建一个企业产品,并期望很多客户,没有自己的活动目录。
我们计划将AAD用作我们的IAM提供商。
我们计划为产品创建主AAD,然后使用其企业电子邮件ID邀请每个客户(租户)的用户作为外部用户访问主AAD。给定客户的每组用户将被添加到外部组以便于管理。
这是否是支持Azure托管产品的多租户IAM的正确方法?
答案 0 :(得分:2)
这是一个非常难的问题。 AAD的多租户基本上要求组织有AAD才能进行适当的分离等。
但是如果一个组织没有AAD,这是一个选择。
使用此路径时,您不能忘记的一件重要事情是打开AAD租户中的选项限制访客用户权限。这使得受邀用户无法访问portal.azure.com并获得租户中所有用户的完整列表。至少通常,当多个客户在同一个租户中时,这是理想的事情。
其他选项可能是:
如果他们只有AAD,那么一切都会变得更容易:)
答案 1 :(得分:1)
这取决于您想要遵循的方法的一些细节。如果您希望他们使用他们的企业电子邮件,那么您可能会考虑使用Single Sign-On(许多组织希望不需要复制帐户,并且您可能希望委托您的客户重置密码的麻烦)。
此外,您需要确定需要什么样的隔离(您希望拥有一组用户还是租户明确分开?)和预算(AAD成本是按用户计算的)您有这个吗? Azure AD B2C也可以是一个选项,或@juunas提到的,用IdentityServer之类的方式实现自己的解决方案。