我遵循以下步骤,以创建一个允许从多个Azure AD租户登录的Azure应用程序:
创建一个新的应用程序服务并打开身份验证
1(在Azure Portal中:我创建了一个全新的空azure应用程序服务,并在浏览器中拨打了URL,以确保其正常工作。
2(我导航到我的新应用服务,然后是"身份验证/授权"刀片。
3(我打开了"应用程序服务身份验证"开关。
4(我从"在请求未经身份验证时要采取的操作登录Azure Active Directory登录"下拉列表。
5(在同一刀片上的"身份验证提供商"下,我单击了" Azure Active Directory",该目录将我导航到" Azure Active Directory Directorsy设置"刀片。
6(在此刀片中,我在"管理模式"单选按钮上选择了" Express"。Active Directory的选择是灰色的,但它是我想使用的一个 - 当前的目录。
创建一个与我的应用服务相关联的新Azure广告应用
7(我单击了" Azure Ad App",它提示我创建一个Azure广告应用程序,默认情况下,该应用的名称与我的应用程序名称相同,因此我保留了它。
8(仍然在" Azure Active Directory设置"刀片上,我单击了"管理Azure Active Directory应用程序"标题下的"管理应用程序"按钮。我又被导航了一个刀片,标题是我刚刚创建的Azure广告应用的名称。
9(在这里,我单击了"设置"按钮,然后在"设置刀片"中"属性"。
10(在"属性"中,我将"多偏用"广播按钮设置为"是"。
11(也在"属性"中:据说多租户工作是必需的:我还将"应用程序ID URI"更改为独特的东西,也将其从组织内的验证URL中更改为某些东西。就我而言,我使用了:
https://<<MyTenantName>.onmicrosoft.com/login-ProofOfConcept
测试安全功能
12(大概设置了所有内容,我首先尝试与当前B2C租户中存在的用户一起登录我的新应用程序。我拨打了我的应用程序服务的URL,由MicropoFtonline提示进行身份验证,对我进行了认证,然后我直接进入了我的应用程序。
这是问题
13(然后,我登录并试图再次登录 - 但是这次是在另一个Azure AD中的用户,这只是我在我的个人Gmail帐户下旋转的一个。我期望它可以"工作",但是在我对其他用户进行身份验证后,在屏幕上显示了此错误:
aadsts50020:用户帐户'myusername@gmail.com'来自身份提供者'live.com'live.com'不存在租户'[mytenantName]'[mytenantName]''[myapplicationguid]azureadapplicationname](在那个租户中。该帐户需要首先作为租户中的外部用户添加。登录并使用不同的Azure Active Directory用户帐户再次登录。
这正是我希望通过启用多租户避免的行为。我希望它只是"登录"该用户,该用户是现有Azure AD的成员。我错过了配置步骤吗?
我认为您可能会在这里查看Azure AD B2B,因此您需要首先邀请非Azure AD用户:请参阅此learn.microsoft.com参考。
假设您有默认设置,该设置允许所有用户邀请非Azure AD用户在此实例中访问应用程序,请邀请您的第二个用户@hotmail,然后尝试登录,请参阅此learh.microsoft.com参考。
如果您希望来自@hotmail的任何人都能登录您的应用程序,请考虑使用Azure AD B2C,请参阅此learn.microsoft.com有关更多详细信息。