我有一个 ASP.NET MVC 4.6 应用程序,我希望能够使用应用程序标识来提供对幕后 Azure Graph API 的访问,但我想使用 Azure AD 用户对我的应用程序进行身份验证和授权。
最终目标是能够让用户最初使用 Google、Facebook 进行注册,或输入他们自己的用户名。在此注册期间,我的应用程序将利用 Graph API 在幕后创建 Azure AD 用户。
注册后,如果用户使用 Google、Facebook 或他们自己的用户名登录,它将查找 Azure AD 用户以检索组或角色。
这是可能的,甚至是一个好主意吗?我愿意接受其他建议。谢谢!
这个有可能。Azure AD 最近向公共预览版发布了Azure AD B2C (面向消费者的业务)。B2C 将允许您的用户通过消费者身份提供商(例如 Google、Facebook 等)注册和登录。
这部分的注册部分在 Azure AD 中创建了一种特殊类型的用户,该用户具有对使用者身份提供者中的身份的引用。B2C的登录部分允许用户使用其相应的身份提供者进行身份验证,并且该身份验证在 Azure AD 中被识别。
完整文档起始于:https ://azure.microsoft.com/en-us/documentation/articles/active-directory-b2c-overview/,ASP.NET MVC 示例位于:https ://azure.microsoft .com/en-us/documentation/articles/active-directory-b2c-devquickstarts-web-dotnet/。
或者,如果您想拥有自己的东西,那么您能做的最好的事情就是建立一种机制,将“常规” Azure AD 用户与相应的社交身份提供者相关联(例如维护一个查找表) . 您的用户将使用每个身份提供者的协议登录到您的应用程序,当他们这样做时,您“人为地”将他们链接到相应的 Azure AD 用户。但是,从 Azure AD 的角度来看,这些用户实际上不会经过身份验证,因此充其量只是将 Azure AD 用作存储用户和组的地方。
查看新的Azure B2C 产品预览版,它支持您所询问的开箱即用的确切方案。