使用 AD B2C 限制哪些企业客户帐户可以登录到多租户应用程序
Limit which business customer accounts can sign in to multi-tenant application using AD B2C
我想创建一个多租户应用程序,用户将在其中使用 Azure AD B2C 登录。我将授予使用策略的某些租户的访问权限,这些租户是我们的客户。只有 select 个租户中的 business customers 个可以访问。
我有一个客户需要精细控制哪些 用户可以访问我的应用程序。据我了解,我的申请 will be registered as a service principal in their tenant as soon as a user consents to the applications requested permissions.
也一样,但服务主体只是一种帐户,可以访问其租户中的某些资源,这些资源是在接受申请时授予的。当应用程序在他们的 AD 中注册后,该组织的任何人都可以登录。当有人登录时,that automatically creates a Consumer account in Azure AD B2C in our tenant.
The consumer user can sign in to applications secured by Azure AD B2C, but cannot access Azure resources such as the Azure portal. The consumer user can use a local account or federated accounts, such as Facebook or Twitter. A consumer account is created by using a sign-up or sign-in user flow, using the Microsoft Graph API, or by using the Azure portal.
现在,我有一个客户也想控制只有他们 AD 中的某些帐户可以登录。所以基本上,用户身份不应该能够访问服务主体?
这是受支持的用例吗?如果是,我该如何处理它以及我在寻找什么术语?如果可能的话,我不希望我的组织来处理这些事情。我只想给租户中的所有用户访问权限,然后由客户grant/revoke 访问个人用户。
如果我理解正确,当您创建了一个多租户应用程序时,它将在您的租户中注册为服务主体,对于客户租户,它将在 Enterprise Application 中注册。因此,如果他们想授予少数用户或特定组访问权限,则可以将 user/group 分配给该特定企业应用程序。
示例:
在我的租户上创建的服务主体:
它在其他租户中注册为企业应用程序所以在那里我们可以 select 分配用户和组以从他们的租户中授予对该应用程序的访问权限,或者他们也可以为指定的集合设置条件访问策略条件。
参考:
Restrict Azure AD app to a set of users - Microsoft identity platform | Microsoft Docs
我想创建一个多租户应用程序,用户将在其中使用 Azure AD B2C 登录。我将授予使用策略的某些租户的访问权限,这些租户是我们的客户。只有 select 个租户中的 business customers 个可以访问。
我有一个客户需要精细控制哪些 用户可以访问我的应用程序。据我了解,我的申请 will be registered as a service principal in their tenant as soon as a user consents to the applications requested permissions.
也一样,但服务主体只是一种帐户,可以访问其租户中的某些资源,这些资源是在接受申请时授予的。当应用程序在他们的 AD 中注册后,该组织的任何人都可以登录。当有人登录时,that automatically creates a Consumer account in Azure AD B2C in our tenant.
The consumer user can sign in to applications secured by Azure AD B2C, but cannot access Azure resources such as the Azure portal. The consumer user can use a local account or federated accounts, such as Facebook or Twitter. A consumer account is created by using a sign-up or sign-in user flow, using the Microsoft Graph API, or by using the Azure portal.
现在,我有一个客户也想控制只有他们 AD 中的某些帐户可以登录。所以基本上,用户身份不应该能够访问服务主体?
这是受支持的用例吗?如果是,我该如何处理它以及我在寻找什么术语?如果可能的话,我不希望我的组织来处理这些事情。我只想给租户中的所有用户访问权限,然后由客户grant/revoke 访问个人用户。
如果我理解正确,当您创建了一个多租户应用程序时,它将在您的租户中注册为服务主体,对于客户租户,它将在 Enterprise Application 中注册。因此,如果他们想授予少数用户或特定组访问权限,则可以将 user/group 分配给该特定企业应用程序。
示例:
在我的租户上创建的服务主体:
它在其他租户中注册为企业应用程序所以在那里我们可以 select 分配用户和组以从他们的租户中授予对该应用程序的访问权限,或者他们也可以为指定的集合设置条件访问策略条件。
参考:
Restrict Azure AD app to a set of users - Microsoft identity platform | Microsoft Docs