场景
我们有一个将供学校使用的应用程序。每所学校都有一个Azure AD实例,其中包含其员工和学生用户。这些用户可以通过学校许可证访问办公室/团队等。我们还需要支持家长拥有帐户和登录。
对于母账户,我们需要使用类似B2C的东西来允许他们创建";本地帐户";或者注册他们自己的微软/谷歌/脸书账户。
对于学生和员工账户,我们希望允许他们使用AAD账户登录。
我的理解是,通过在B2C配置中添加AAD作为身份提供者,可以使用AADB2C启用这一功能。B2C还支持";IDP通过";这允许您获得正在使用的第三方IDP的access_token。
我的问题是,该功能(或者实际上是AADB2C(是否可以用于获取访问令牌,该令牌将允许您访问已登录用户MSGraph API(无论是与之相关的学校(?
如果不是,这是否意味着必须为家长账户建立一个B2C目录,并将其与学校为学生和教职员工管理的AAD账户完全分开管理?
我读了很多书,老实说,我读得越多,我就越困惑xD
完全可以做到这一点,下面是一个示例:https://github.com/azure-ad-b2c/samples/tree/master/policies/B2C-Token-Includes-AzureAD-BearerToken