我正在尝试Azure Active Directory中针对我公司的多项功能。我们希望为我们的Web应用程序的用户提供单点登录和基于声明的身份验证和授权。某些客户拥有自己的Azure AD,而其他客户则可以通过我们拥有的Azure AD获得用户。我们希望允许来自其他获得批准的Azure租户的所有用户进行身份验证,但只有特定用户应该被授权,因为我们按每个应用程序向每位用户收取客户费用。希望我们的Azure AD组可以用于此目的。我成功地创建了一个测试应用程序,允许来自我的Azure AD和其他用户的用户登录到我们的应用程序。您是否可以将来自其他Azure AD的用户添加到您自己的Azure AD中的组?
我的问题是这样的:是否可以将用户从另一个Azure AD(我们不控制)添加到Azure AD中的组,以便我们可以使用用户的组成员资格来允许访问不同的应用程序我们建立?这是可能的还是我误解了一些基本的东西? :)我们应该放弃Azure AD组,并使用我们自己的sepperate数据库来存储可以在ASP安全管道期间从所有用户分配给用户的声明吗?
我测试的应用程序具有对其他Azure AD的读取权限以及对Azure AD的读取/写入权限。我无法通过Azure管理门户(“没有用户存在与您有权访问的目录中的此用户名”)的用户(来自另一个Azure AD)到我们的组,并且我迄今无法做到这一点与应用程序的图形API。将我在Azure AD中创建的用户添加到我们的组中可以正常工作。
感谢您的回答:)我怀疑这可能是这种情况。 Azure AD组功能看起来有点愚蠢,因为当你不能以多种方式使用它(当所有的帐户都是基于Azure AD的时候)。无论如何,创建一个新的数据库的时间:) –