我们在租户 (xyz.onmicrosoft.com) 中托管应用服务,我正在使用 Azure Identity 服务进行身份验证。我想向另一个 Azure 租户 (customerxyz.onmirosoft.com) 中的用户授予对该应用程序的访问权限。
一种可能性是单独邀请每个用户作为访客加入我们的租户。然后为他们分配企业应用程序的访问权限。
理想情况下,我希望使用其他 Azure 租户 (customerxyz.onmirosoft.com) 中的组来控制对企业应用程序的访问。这可能吗?除了第一种方法,我还有什么其他方法?
答案1
内置的应用服务身份验证与 AAD 一起使用时会创建一个用于身份验证的 Azure AD 应用程序,该应用程序位于您的 AAD 租户中。此应用程序的默认选项是仅允许来自您的 AAD 租户的用户。这将包括来宾用户,因此您可以按照您说的做并邀请用户加入您的租户。
您可以将 AAD 应用切换为“多租户”应用程序,这将允许其他 AAD 租户的用户进入您的应用程序。但是,这将允许来自任何将 AAD 租户添加到您的应用程序中,而不仅仅是您感兴趣的那个。如果您想将访问权限限制为两个租户,则需要对应用程序代码进行一些更改以检查用户的租户并仅允许您想要的租户。应用服务层中没有为您执行此操作的功能。