Azure AD B2B身份验证-多租户应用程序的动态受信任颁发者

时间:2018-06-26 11:02:36

标签: azure authentication azure-active-directory multi-tenant azure-ad-graph-api

我正在转换Web应用程序以启用Azure AD B2B协作。

当前,它正在通过Azure AD(V2 Microsoft Graph API)对内部组织用户进行身份验证,并正在像这样验证令牌发行者:

TokenValidationParameters = new TokenValidationParameters
                {
                    ValidateIssuer = true,
                    ValidIssuer = validIssuer
                },

有效的颁发者来自静态的web.config设置。

如果您与静态租户打交道,则上述方法可以很好地工作,即,只有来自A,B,C组织的用户才可以访问该应用程序。

在我的情况下,我希望有一个动态的域列表(contoso.com,xyz.com等),用户可以从中进行身份验证。

我了解可以通过检查令牌的声明并查看用户名域是否与应用程序的白名单域匹配来在应用程序级别进行处理。但是,我很感兴趣是否可以将此验证委托给以下任何一个人:

  • 身份验证管道(验证发布者)
  • 在Azure AD级别(这意味着如果用户不是来自批准的域,则他们甚至都无法访问应用程序)。这将是理想的。

0 个答案:

没有答案