我按照以下步骤尝试创建允许从多个Azure AD租户登录的Azure应用:
创建新的应用服务并启用身份验证
1)在Azure门户中:我创建了一个全新的空Azure应用服务,并在浏览器中拨通了它的URL,以确保其正常运行。
2)我导航至新的App Service,然后导航至“身份验证/授权”刀片。
3)我打开了“应用服务验证”开关。
4)我从“未验证请求时采取的措施”下拉菜单中选择“使用Azure Active Directory登录”。
5)在同一刀片上的“身份验证提供程序”下,单击“ Azure Active Directory”,将我导航到“ Azure Active Directory设置”刀片。
6)在此刀片中,我在“管理模式”单选按钮上选择了“表达”。 Active Directory的选择显示为灰色,但这是我要使用的-当前目录。
创建与我的应用程序服务关联的新Azure AD应用程序
7)我单击“ Azure AD App”,它提示我创建一个Azure AD App,默认情况下该名称与我的App Service名称相同,所以我保留了它。
8)仍然在“ Azure Active Directory设置”刀片上,单击“管理Azure Active Directory应用程序”标题下的“管理应用程序”按钮。我又被浏览了一遍,标题是我刚创建的Azure AD应用程序的名称。
9)在这里,我单击了“设置”按钮,然后单击“设置”边栏中的“属性”。
10)在“属性”中,将“多端”单选按钮设置为“是”。
11)也在“属性”中:据说是多租户工作所必需的:我也将“应用ID URI”更改为唯一的名称,也从组织内的“经过验证的URL”更改了。就我而言,我使用了:
https://<<MyTenantName>.onmicrosoft.com/login-ProofOfConcept
测试安全功能
12)大概已完成所有设置,我首先尝试使用当前B2C租户中存在的用户登录到新应用程序。我拨通了我的App Service的URL,microsoftonline提示我进行身份验证,身份验证,然后我就可以毫无问题地直接进入我的应用程序。
这是问题所在
13)然后,我注销并尝试再次登录-但这一次是作为另一个Azure AD中的用户,这只是我使用我的个人gmail帐户注册的一个。我原以为它可以“正常工作”,但是我以其他用户身份验证后,此错误显示在屏幕上:
AADSTS50020:来自身份提供者“ live.com”的用户帐户“ MyUserName@gmail.com”在租户“ [MyTenantName]”中不存在,并且无法访问应用程序“ [MyApplicationGUID]”([该租户中的AzureADApplicationName])。首先需要将该帐户作为外部用户添加到租户中。退出并使用其他Azure Active Directory用户帐户再次登录。
这正是我希望通过启用多租户避免的行为。我希望它只是“登录”该用户,该用户是现有Azure AD的成员。我错过了配置步骤吗?
答案 0 :(得分:0)
我认为您可能正在这里查看Azure AD B2B,因此您需要首先邀请非Azure AD用户:请参阅此docs.microsoft.com参考。
假设您具有默认设置,即允许所有用户在这种情况下邀请非Azure AD用户访问应用程序,邀请您的第二个用户@hotmail然后尝试登录,请参见此docs.microsoft.com参考。
如果您希望@hotmail中的任何人都能够登录到您的应用程序,请考虑使用Azure AD B2C,有关更多详细信息,请参阅此docs.microsoft.com。