我们有几个 asp.net 应用程序,每个都有自己的用户表和数据库。每个应用程序都有自己的登录/重置密码等。我们的用户来自不同的公司,因此用户是该公司的员工。
现在我们想使用一个中央身份提供者并让它完成所有的身份验证和授权工作。
我们可以使用 Azure AD/Azure AD B2B/Azure AD B2C 来实现我们的目标吗?
我们有来自这些公司的数千名用户,其中大多数没有自己的广告或 Azure 广告。我们需要从我们自己的用户表中将现有用户批量迁移到 Azure AD(如果使用 b2c,则向他们发送邀请)。
B2C 很好,但基本上任何人都可以在那里登录。因此,除非这些应用程序是面向消费者的,否则我可能会选择 B2B。
您可以为那些没有 Azure AD 的用户创建一个目录,并邀请他们在那里(也有一个 API)。
现在当然您的用户将不得不再次创建密码,因为我假设您已将它们以不可逆的形式存储。
是的,使用 Azure B2C 或 B2B 应该能够为您实现这一目标。我相信 B2C 会比 B2B 更理想。
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-b2b-what-is-azure-ad-b2b
https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-overview
用户是您组织的客户还是内部用户?B2B 用于您公司的用户群或与您有合作关系的其他公司。B2C 是客户端,不仅支持使用 Azure AD 帐户登录,还支持使用 facebook、google 和 outlook.com 等消费者身份提供商登录。
也就是说,您可以设置支持 SAML、OAuth 和 OpenID 的 Azure AD 应用程序,以允许用户登录您的应用程序进行身份验证和授权
什么是 Azure Active Directory B2C? https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-overview
什么是 Azure Active Directory B2B? https://docs.microsoft.com/en-us/azure/active-directory/b2b/what-is-b2b
这还取决于您为客户提供的用户名或登录电子邮件。我在这里假设您没有与您的客户 Azure AD 建立联系,并且他们没有 Azure AD 租户,如果不是全部的话。如果您选择B2B,据我目前所知,不允许注册未经验证的域电子邮件。因此,对于默认租户,您的所有用户都是“username@tenantname.onmicrosoft.com”。为了添加其他域,您需要添加并验证它,这需要与域注册商合作。
我们有非常相似的用例,最终选择了 B2C。它使我们能够支持客户用例 (user@anyemail.com)。对于 Azure AD 租户中的内部用户,我们将 Azure AD 添加为 B2C 中的 IdP 之一。