真的很难得到这个问题的答案,而且不同的人对此有不同的看法:
我们代理服务器上的租户限制是否会阻止我的一个用户访问其他人的租户 - 即使他们在其 AAD 中将他们设置为来宾用户?
背景: 我有微软租户限制,这基本上是代理服务器检查所有传出请求的标头以访问微软公共云的地方。它查看请求尝试访问的租户名称,并检查配置文件(或白名单)以验证该租户是否已获得批准)。如果不是,它们将被阻止。
这是设计使然。
问题: 我发现我们越来越多的合作伙伴正在他们的 Azure Active Directory 中设置我的用户,并允许他们访问他们的资源,作为 B2B 协作的一部分。这也是设计使然。但是,如上所述,我们现有的租户限制阻止了这一点。
有人建议我,如果用户在其 AAD 中设置为访客,则不会受到租户限制的影响,并且该用户将能够访问其租户。
但是我不确定我是否同意。
由于用户在其他人的 AAD(显然位于其租户中)中设置为访客,因此该用户将在身份验证期间被阻止,因为 IDP 是他们的 AAD - 而不是我的。
我的基本测试支持我的观点。但是,我仍在与人们就此事进行辩论。不幸的是,我无法在我的工作环境中对此进行详细测试。
那么,来宾帐户会绕过租户限制吗?
谢谢!