我们开发了一个客户端应用程序,它将用户身份验证委派给Azure AD,并通过Azure AD图表apis进行身份验证,并将授权类型作为密码。内部用户(员工)和外部用户(经纪人)可以访问客户端应用程序。我们已经配置了一个内部Azure AD来管理内部用户(员工)和Azure B2C租户来管理外部用户(代理)以将用户信息保存在单独的AD中。
现在,我们要在Azure B2C租户中配置内部Azure AD,以便客户端应用程序可以通过Azure graph apis对两种类型的用户进行身份验证,并在密码授予类型中使用Azure B2C租户ID和客户端ID。还对用户执行AD相关操作。
将内部身份验证与B2C身份验证相结合的同一Azure网络应用的正确方法是什么?
答案 0 :(得分:1)
首先,Azure AD B2C对资源所有者密码凭据流没有任何直接支持。
现在唯一的选择是将用户从您的网络应用程序重定向到Azure AD B2C授权终端进行登录。
但是,Azure AD B2C中的support for this flow工作正在进行中。
其次,如果将Azure AD租户配置为Azure AD B2C租户的身份提供商,即“在Azure B2C租户中配置内部Azure AD”,则Azure AD B2C将不会发布您的Web应用程序租户,其中包含调用Azure AD用户操作所需的任何Azure AD令牌。
如果需要,那么我建议您将Web应用程序与Azure AD和Azure AD B2C租户联合 - 而不是仅使用Azure AD B2C租户,并通过它与Azure AD租户联合 - 所以您的Web应用程序由相应的租户发布,其中包含可用于在Azure AD和Azure AD B2C用户上调用操作的令牌。