我已经在本地Azure AD中创建了一个Web应用程序,我可以成功地使用它来验证AD租户的成员身份(使用oAuth2流)。现在,我需要扩展受支持的方案,以允许来自外部Azure AD租户的全局管理员注册他们的公司也可以使用此应用程序。
基于Microsoft Docs,此方案支持多租户...
Authentication Scenarios for Azure AD
多租户:如果您要构建可供组织外部的用户使用的应用程序,则该应用程序必须在公司目录中注册,而且还必须在将使用该应用程序的每个组织目录中注册。为了使您的应用程序在其目录中可用,您可以为客户提供一个注册过程,使他们能够同意您的应用程序。当他们注册您的应用程序时,将显示一个对话框,显示该应用程序所需的权限,然后显示同意选项。根据所需的权限,可能需要其他组织的管理员同意。当用户或管理员同意时,该应用程序将在其目录中注册。有关更多信息,请参见将应用程序与Azure Active Directory集成。
从我的阅读看来,似乎应该在某个时候为外国租户的全球管理员提供一个他们可以遵循的URL(login.microsoftonline.com/common / ???),这将以某种方式导致外部应用程序像晨露一样沉淀到他们的Azure AD中。但是,如果这是正确的方法,我将欣赏一个标记化的示例,该示例说明了如何为多租户外部Azure AD应用程序正确构建登录URL,组管理员可以遵循该示例以允许其AzureAD访问。
答案 0 :(得分:1)
好吧,通过反复试验,我找到了解决方案。需要为远程租户的组管理员提供以下URL,这将允许他们在其租户中将Azure AD应用程序注册为企业应用程序。
https://login.microsoftonline.com/{remoteTenantUrl.com}/adminconsent?client_id={YourAppsClientID}&redirect_uri={YourAppsCallbackPage}