我们在租户 (xyz.onmicrosoft.com) 中托管应用服务,并且我使用 Azure Identity 服务进行身份验证。我想向另一个 Azure 租户 (customerxyz.onmirosoft.com) 中的用户授予对应用程序的访问权限。
一种可能性是邀请每个用户作为访客单独加入我们的租户。然后为他们分配对企业应用程序的访问权限。
理想情况下,我想使用另一个 Azure 租户 (customerxyz.onmirosoft.com) 中的组来控制对企业应用程序的访问。这可能吗?我有什么替代第一种方法的方法?
应用服务的内置身份验证在与 AAD 一起使用时会创建一个用于身份验证的 Azure AD 应用程序,它位于您的 AAD 租户中。此应用的默认选项是仅允许来自您的 AAD 租户的用户。这将包括来宾用户,因此您可以照您说的做并邀请用户加入您的租户。
您可以将 AAD 应用程序切换为“多租户”应用程序,这将允许其他 AAD 租户的用户进入您的应用程序。但是,这将使任何AAD 租户的使用进入您的应用程序,而不仅仅是您感兴趣的租户。如果您想限制对两个租户的访问,您需要在应用程序代码中进行一些更改以检查租户用户并且只允许您想要的用户。应用服务层中没有功能可以为您执行此操作。