我们使用 Active Directory B2C 来允许我们的客户用户登录到我们的网络应用程序。
最近,我们有 2 个不同客户组织的用户无法登录。他们能够证明以下内容。
- 他们点击我们网站@ https://www.mycompany.com上的登录按钮
- 他们被重定向到我们的 IdentityServer @ https://id.mycompany.com
- 他们被进一步重定向到https://login.microsoft.com
应该发生什么
- 用户现在应该通过正常的登录流程
- 提供他们之前在我们的 ADB2C 中设置的用户名 ([email protected])
- 提供他们在邀请过程中设置的密码
- 被重定向回我们的身份服务器
- 被重定向回我们的 Web 应用程序
实际发生了什么
- 用户输入他们的电子邮件地址 ([email protected])
- Microsoft 立即介入并提供以下消息
您似乎正在尝试访问属于未经您的 IT 部门批准的组织的资源。
我认为正在发生的事情是因为 Client.com 自己使用 Microsoft Azure Active Directory/Office 365,他们的管理团队已经设置了一些东西来告诉 Login.Microsoft
“我们拥有域‘client.com’,如果有人试图使用[email protected]邮件地址作为登录尝试其他租户的身份,你应该阻止他们”
这是AD的“功能”吗?显然,这是我们需要与客户公司的 IT 部门讨论的事情,但我更愿意带着更好的信息进行对话,了解我们要求他们将我们列入白名单的功能。
是的,这是客户公司可以配置来限制他们的用户访问 SaaS 应用程序的东西,它被称为“租户限制”。
基本上,租户管理员可以选择他们的用户可以使用其 Azure AD 帐户登录的租户。
阅读愉快:https ://docs.microsoft.com/en-us/azure/active-directory/manage-apps/tenant-restrictions