我正在考虑在以下场景中利用B2C:
- 允许目前拥有Azure AD帐户的合作伙伴组织登录到我的应用程序。 我不想强制用户在我的系统中注册一个新帐户。我希望他们能够使用自己的帐户,而不需要我来管理他们的帐户(例如重置密码)。
- 我需要能够从我的合作伙伴组织中识别一些用户为"管理员";在我的申请中。如果用户不是Admin,则自动成为"用户"。我希望我的合作伙伴组织能够配置他们组织中的哪些员工是管理员。
- 我还需要拥有本地帐户的能力,我可以为没有选择提供外部身份提供者的组织中的用户创建本地帐户。
我的理解是,我可以用Azure AD B2C做到这一点,但我必须在内部创建功能,以便能够管理哪些用户是管理员。我的理解是,我必须在本地数据库中维护一个管理员用户列表,然后在登录流程期间,我将有一个旅程/编排步骤,该步骤将调用API来确定用户是否是管理员并添加,如果是,则向JWT令牌添加声明。
我的理解正确吗?
您可以联合B2C和Azure AD。
允许第1点到第4点。
请参阅链接中的"配置可选声明"一节。这将允许您将Azure AD声明(例如Admin)传递给B2C。