我是MS/AD的所有事物,来自应用程序开发人员方面的所有事物,因此,如果我不使用正确的术语,请随身携带。我在网上文档中找不到确认,非常感谢任何可能有帮助的想法或链接。
场景:我的组织是一家O365商店,并在Azure中有很多东西。一个项目是一个具有多个Web应用程序的自定义平台。大多数人通过SSO访问了我们自己的人们,但是其中一些应用程序将由我们的合作伙伴/供应商的外部用户访问。其中有几个是MS商店,但大多数不是,我们不需要MS帐户。
扭曲:我们需要将用户管理委派给合作伙伴/供应商。因此,作为APP3的一个例子,我们将拥有大量需要访问的合作伙伴/供应商组织。我们想从该组织中给1个人邀请他们的同事并在任何人离开组织时邀请他们的人。在许多情况下,它们不一定具有相同的电子邮件地址域,因此我们不能以这种方式限制/组。在其他情况下,我们需要全球组织的每个国家办公室都有自己的授权管理员来管理员工,因此可能与具有相同电子邮件地址域的用户有单独的组织。
我的问题:Azure AD B2C是正确的方法吗?它能否支持这种委派管理(例如https://learn.microsoft.com/en-us/azure/active-directory/active-directory-accessmanagement-accessmanagement-self-service-service-service-group-management(?
我们是否需要为每个外部组织配置单独的Azure AD B2C目录,或者应该是一个Azure AD B2C目录中的组?
此时在Azure AD AD B2C 中没有针对用户管理委托的框外支持使用本地(.onmicrosoft.com(帐户或外部用户使用本地(@myemail.com(或社交帐户。Azure AD B2C也不支持自助群体管理功能。您可以在Azure AD B2C反馈论坛中要求其中一个。
这些应用程序的实例是支持这些多个组织的人吗?
如果答案是否定的,则意味着您将拥有一个用于组织A的应用程序的实例,而对于组织B,您绝对可以拥有多个Azure AD B2C目录,并将每个应用程序连接到每个目录。
如果这些应用程序的一个实例需要支持这些组织的多个,那么我可以为您想到两个选择:
-
使用Azure AD B2C并构建所有委托和用户管理逻辑。您可以拥有一个自定义属性来分配用户的"组织",并指示他们是否可以管理用户。然后,您需要创建一个用户管理UI,该UI为所有在相同的"组织"中的用户查询图形并让用户管理这些用户。您还需要通过Azure AD图创建用户并相应地设置其"组织"主张,然后将用户引导到密码重置策略作为其"帐户验证"流程。<<<<<<<<<<
-
使用Azure AD和B2B协作功能(包括其委托邀请的能力(。这也打开了您所引用的自助式小组管理功能。如果您不希望这些用户可以访问组织中的其他内容,则可能希望为此创建一个单独的Azure AD租户,并通过B2B协作邀请您的Azure广告中的人们。
从概念上讲,B2C适用于外部用户,而Azure AD则是为内部用户提供的,B2B与这些内部用户与合作伙伴进行补充,这些内部用户与这些内部用户足够合作,几乎被视为内部用户。话虽如此,请使用最适合您需求的最适合您的。不要忘记记住他们的定价模型大不相同。