我们使用 Active Directory B2C 允许我们的客户端用户登录我们的 Web 应用程序。
最近,我们两个不同客户组织的用户都无法登录。他们演示了以下情况。
- 他们点击我们网站上的登录按钮@https://www.mycompany.com
- 他们被重定向到我们的 IdentityServer @https://id.mycompany.com
- 他们被进一步重定向到https://login.microsoft.com
应该发生什么
- 用户现在应该完成正常的登录流程
- 提供其用户名([电子邮件保护])之前已在我们的 ADB2C 中设置
- 提供他们在邀请过程中设置的密码
- 重定向回我们的身份服务器
- 重定向回我们的 Web 应用程序
到底发生了什么
- 用户输入其电子邮件地址([电子邮件保护])
- 微软立即介入并发布以下信息
看起来您正在尝试访问属于未经 IT 部门批准的组织的资源。
我认为发生的事情是,由于 Client.com 自己正在使用 Microsoft Azure Active Directory/Office 365,因此他们的管理团队设置了一些可以告诉 Login.Microsoft
“我们拥有该域名'客户端.com'如果有人试图使用[电子邮件保护]邮件地址作为登录尝试的身份,您应该阻止他们”
这是 AD 的“功能”吗?显然,我们需要与客户公司的 IT 部门讨论这个问题,但我更愿意在进行对话时,先了解我们要求他们将我们列入白名单的功能。
答案1
是的,客户公司可以配置它来限制其用户访问 SaaS 应用程序,这称为“租户限制”。
基本上,租户管理员可以选择用户可以使用他们的 Azure AD 帐户登录哪个租户。
祝您阅读愉快:https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/tenant-restrictions