问题标签 [azure-ad-b2b]

我已经在 MVC 应用程序中实现了 AZure 广告。它在本地环境中运行良好。但在 SIT 环境上部署后，它可以正常工作 1 小时。在它开始在不同的浏览器或隐身模式上失败之后。当我重新启动应用程序时，它再次开始工作。

当它重定向到我的重定向uri时，我在那里检查了forif（Request.IsAuthenticated）

它在隐身或其他不为该应用程序存储 cookie 的浏览器中返回 false。

命名空间 Abcd { 公共部分类启动 {

我希望它可以随时适用于任何浏览器。

我有一个应用程序，目前所有用户都在我们订阅的 azure AD 租户中。因此，在更改密码的应用程序中，我们正在处理图形 api。现在必须更改此设置，以便不会在我们的租户中维护使用，但我们将为 google 和 facebook 外部身份添加联合，以便用户将使用各自的帐户凭据。我知道我们无法从应用程序中控制它。现在我的问题是如何在我们的应用程序中管理此密码更改/重置？这个怎么设计？

谢谢，mbr

是否可以将 AD FS 2016 配置为信任由 Azure AD 颁发的 OAuth2 访问令牌？如果 AD FS 2016 不能信任 Azure AD，那么它能否信任 Azure AD B2C 和/或 Azure AD B2B？

这将是这样的场景：

1. 客户端获取 Azure AD 颁发的 OAuth2 访问令牌以调用 API-1。
2. API-1 在代表流中从 AD FS 2016 请求 API-2 的新令牌。
3. AD FS 2016 颁发新的访问令牌（因为它信任 Azure AD 颁发的令牌）。
4. API-1 调用 API-2 发送由 AD FS 颁发的令牌。

我知道 AD FS 2016 可以配置为通过使用 SAML 创建声明提供者信任来信任联合合作伙伴组织，但我不知道的两件事是 1) 声明提供者信任是否与 OAuth2 访问令牌一起使用和 2) Azure AD 和 AD FS 之间的声明提供程序信任工作。

我正在尝试授予控制台应用程序在 Azure AD 中调用 API 的权限。

当我转到“添加权限”时，“应用程序权限”是灰色的，我只能选择“委派权限”。

我的理解是应用程序权限适用于控制台应用程序，因为它在后端运行并且用户不会登录它。

从“应用程序权限”的帮助文本中：

您的应用程序在没有登录用户的情况下作为后台服务或守护程序运行。

“委派权限”的帮助文本：

您的应用程序需要以登录用户的身份访问 API。

为什么禁用“应用程序权限”？

我们正处于为员工时间跟踪系统创建 Web 应用程序的计划阶段。如果应用成功，我们希望将其作为SaaS （软件即服务）服务出售给其他公司，这样就不需要安装在企业服务器上。

我想知道我们是否应该在 Azure 上注册我们的应用程序，作为多租户还是单租户？只有公司的员工才能使用时间报告系统，所以我考虑使用单租户。但是，如果其他公司想要购买这项服务并连接他们的员工，它是如何运作的呢？我们是否需要创建一个新的单一租户且新公司独有的新 Web 应用程序？或者我们应该将应用程序注册为多租户，以便其他公司可以连接到我们的 Azure AD？

我对 Azure AD 比较陌生，可以参考对 Azure 和云服务有更多经验的人的一些建议。

已经有很多关于 Azure AD B2B 和 B2C 的比较，但没有一个能回答我的问题。由于这些技术有很多共同点，我试图确定在我的场景中什么是最好的。

我们正在构建一些网络应用程序/api，供我们公司员工、合作伙伴以及少数外部用户使用谷歌登录名使用。我的公司使用 Azure AD，一些合作伙伴在 Azure AD 中有存在，而有些则没有。

一些额外的要求是：

1. 我们希望将这些应用程序托管在一个单独的租户上，与我们的企业租户分开。
2. 合作伙伴不仅应该能够使用应用程序，还应该能够使用 azure 资源
3. 为外部用户启用社交服务提供商登录（目前为 Google）
4. 无需使用 Office 365

这看起来更像是 B2C 场景，但也可以通过将 Azure AD 与 B2B 协作结合使用来完成，并且 Azure AD 允许 Google 作为身份提供商之一。那么在这种情况下使用 Azure AD 有什么缺点呢？

我在租户 A 上托管的 Azure Cloud A 上运行应用程序 A。此用户在 AAD 中定义。

我在租户 B 上托管的 Azure Cloud B 上运行了另一个应用程序 B。

如何在应用程序 A 和应用程序 B 之间启用 SSO？

我需要构建一个解决方案，利用 Azure B2B 协作来吸引来自不同组织的客户使用我的系统。

每个客户可能有 100 或 1000 名用户，其中一些可能有 Azure AD，而另一些则没有。

该应用程序将具有不同的用户角色/组结构来控制对我的 API 的访问。

设计这个的最好方法是什么，你能提供参考吗？

选项 1：为每个客户创建单独的 Azure AD

每个客户都有自己的 Azure AD，我可以使用 Azure 组来控制访问。

• 每个订阅的 Azure AD 限制是多少？（在 MS 文档中找不到明确的答案）https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-service-limits-restrictions
• 这是一个好的“Azure”实践吗？你能提供参考吗？
• 有关结构化/组织此以方便维护的任何信息。
• 我需要注意的任何并发症？

选项 2：为所有客户/用户创建一个 Azure AD

所有客户的所有用户都将添加到单个 Azure AD，并且对于用户隔离，每个客户的用户属于单独的 Azure 安全组。

• 在这种情况下，我可能需要在本地数据库中维护每个客户组，因为它们可能有不同的组。
• 将所有客户的用户放在同一个目录中是否有任何顾虑？

选项3：？？？

我正在使用 React Native 构建移动应用程序。我必须使用 React-native-azure-ad-2 包登录 Azure AD。通过选择公共客户端（移动和桌面）选项，我已在应用注册中的 Azure AD 上注册了我的应用程序。

我面临以下问题：

1) 应用注册时我应该在重定向 URI 中写什么？

2) 我如何获得 idToken (JWT)？它只提供访问令牌。

以下是我从 SDK 获得的响应。

但我需要 JWT 格式的 idToken。

我有一个用于单个 ASP.NET Core 网站的“中心辐射”模型，以及位于 N 个其他 AzureAD 租户中的几个“辐射 API”。

...调用位于其他租户中的 API 应用程序...

我的目标是让这个“中心”网站使用与场景一致的外部合作伙伴的增量同意：受保护的 AzureAD API 调用另一个受保护的 API。我的情况的主要区别在于第二个 API 位于另一个租户中，由另一个我不认识的管理员管理。（我应该提防龙吗？如果是，它们是什么？）

由于我需要使用 On-Behalf-Of 流程来访问这些外部网站，因此该网站成为受信任的客户端。AAD 示例仅包括此方案的桌面和 SPA 受信任客户端应用程序（示例1 、示例 2）

问题

1. 这是受支持的方案吗？（向其他租户提供服务的租户）
2. 共享 API 范围、权限和其他 GUID/标识符的首选方式是什么？
3. 在 v2 Endpoint 中，是否同时支持个人和 AAD 帐户？
4. 如何将应用程序清单中范围和其他内容的租户 GUID 转换为显示名称？