我正在转换Web应用程序以启用Azure AD B2B协作。
当前,它正在通过Azure AD(V2 Microsoft Graph API)对内部组织用户进行身份验证,并正在像这样验证令牌发行者:
TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = true,
ValidIssuer = validIssuer
},
有效的颁发者来自静态的web.config设置。
如果您与静态租户打交道,则上述方法可以很好地工作,即,只有来自A,B,C组织的用户才可以访问该应用程序。
在我的情况下,我希望有一个动态的域列表(contoso.com,xyz.com等),用户可以从中进行身份验证。
我了解可以通过检查令牌的声明并查看用户名域是否与应用程序的白名单域匹配来在应用程序级别进行处理。但是,我很感兴趣是否可以将此验证委托给以下任何一个人: