是否有将 IBM iWelcome 配置为 Azure AD 的联合 IdP 的经验?
场景如下:
- 用户通过指定其原始电子邮件作为用户标识符在 iWelcome 上注册(注意:此电子邮件可以在不同的域中)
- iWelcome(IBM CGI)背后的 IAM 在 Azure AD 中为该用户创建一个来宾帐户,并分配相关应用程序(例如 MS Teams 中团队成员资格)或对象(Azure 订阅中的资源)的权限
- 然后,同一用户在 iWelcome 中进行身份验证,并访问受 Azure AD 保护的所需应用程序/资源
有人有过这种整合的经验吗?
我们知道 iWelcome 支持 SAML、OAuth 和 OpenID Connect,但要理解如何将其与 Azure AD 联合并不直观。B2B 的 Azure AD 与 SAML/WS-Fed 身份提供程序 (IdP) 联合存在单个域的限制;通过 iWelcome 进行身份验证的用户的电子邮件/ID 属于不同的域。是否可以对多个域使用同一个 IdP?如果可以,如何操作?
已知参考:
- https://developers.iwelcome.com/v1.0/faq/which-authentication-federation-sso-technologies-do-you-support
- https://docs.microsoft.com/en-us/azure/active-directory/external-identities/direct-federation#limit-on-multiple-domains
谢谢你,斯蒂法诺