我们在基于 Azure AD 的 Web 应用程序中实现了多租户单点登录方案。这里一切都很好,单点登录按预期工作。
在随附的屏幕截图中,您可以看到 Azure AD 中应用程序条目的基本设置。(好吧,你看的不多,这里的一切都变黑了。)
因此,一般来说,我们将 Web 应用程序的登录 url 设置为名为“/Account/SignIn”的特定路径。这是我们通过 OWIN 发起 OpenID Connect 质询的控制器操作。在挑战中,我们还提供了一个重定向 url,因此在用户通过 Azure AD 身份验证后,我们可以将他或她重定向到所需的登录页面。
与此相反,Azure AD 应用程序条目的回复 url 设置为 Web 应用程序的根 url。我们这样做是为了向公众隐藏我们应用程序的复杂性。在此处公开特殊路径时,如果我们的应用程序逻辑发生更改,我们将不得不更新此路径。
通过将应用程序分配给 Azure AD 中的这些用户,我们现在已将 Web 应用程序添加到某些用户的 Office 365 应用程序启动器。不幸的是,应用程序启动器中的应用程序磁贴将用户重定向到我们的 Web 应用程序的根 url(这是 Azure AD 应用程序条目中的回复 url,如上所述),而不是我们经过身份验证的用户的登录页面。我们的 Web 应用程序的根 url 不需要身份验证,因此用户需要在我们的 Web 应用程序中单击“登录”以强制进行单点登录过程。这不是期望的行为......
问题是我们是否真的需要在 Azure AD 应用程序条目中将我们的登录页面作为回复 url 公开?登陆页面路径上的任何更新都会导致回复 url 发生变化。
此外,该应用程序是多租户的。在我们的 Azure 开发人员租户中对应用程序条目进行更改时,这些更改不会影响我们客户租户中的应用程序条目。相反,客户需要撤销对我们应用程序的访问权限,并通过同意请求的权限再次授予访问权限。
这里有哪些最佳实践?谢谢你的帮助。
此致,
达斯汀