我想创建一个多租户应用程序,用户将在其中使用 Azure AD B2C 登录。我将授予使用政策的某些租户的访问权限,这些租户是我们的客户。只有选定租户的商业客户才能访问。
我有一个客户需要精细控制他们的哪些用户可以访问我的应用程序。据我了解,只要用户同意应用程序请求的权限,我的应用程序就会在其租户中注册为服务主体。
一切都很好,但服务主体只是一种帐户,可以访问其租户中的某些资源,这些资源是在接受应用程序时授予的。当应用程序在其 AD 中注册后,该组织中的任何人都可以登录。当有人登录时,这会自动在我们租户的 Azure AD B2C 中创建消费者帐户。
使用者用户可以登录到受 Azure AD B2C 保护的应用程序,但不能访问 Azure 资源,例如 Azure 门户。消费者用户可以使用本地帐户或联合帐户,例如 Facebook 或 Twitter。使用注册或登录用户流、使用 Microsoft Graph API 或使用 Azure 门户创建使用者帐户。
现在,我有一个客户也想控制只有他们 AD 中的某些帐户才能登录。所以基本上,用户身份不应该能够访问服务主体?
这是一个受支持的用例吗?如果是,我该如何处理它以及我在寻找什么术语?如果可能的话,我不希望我的组织处理任何这些。我只想为租户中的所有用户授予访问权限,然后由客户授予/撤销对单个用户的访问权限。