我希望使用Microsoft身份平台-Azure Active Directory-管理我的应用程序的身份验证。
我使用的是v2.0端点。
我已经在新的应用程序注册门户(apps.dev.microsoft.com)中注册了我的应用程序,该应用程序现在显示在Azure Active Directory > App registrations下的主要Azure门户中
我需要限制某些组织对我的应用程序的访问-我正在假设这意味着我需要允许访问一组特定的AD租户。
在应用程序清单中,有一个signInAudience属性,其选项为AzureADMyOrg,AzureADMultipleOrgs和AzureADandPersonalMicrosoftAccount
AzureADMultipleOrgs听起来最接近我要寻找的内容,但是到目前为止,这意味着拥有AD帐户的任何人都可以访问我的应用。
我遇到了orgRestrictions属性(https://github.com/microsoftgraph/microsoft-graph-docs/blob/master/api-reference/beta/resources/application.md)的文档,这听起来很有用,但只是说Reserved for future use
我认为这是一个常见的用例,例如只允许访问订阅您产品的组织,但我看不到一种简单的方法。
答案 0 :(得分:3)
我认为这是一个常见的用例,例如只允许访问订阅您产品的组织,但我看不到一种简单的方法。
是的,大多数多租户示例都展示了这一点。
当前没有办法说给定的应用程序应允许从X和Y登录,因此它必须允许所有Azure AD租户。
(尽管此功能已被强烈要求)
然后,在身份验证之后,您的应用可以检查tid声明。
例如,您可以从数据库中检查此租户是否具有有效的订阅。
如果没有,请将其重定向到错误页面,并且不要登录。