Назад | Перейти на главную страницу

Конфликты Azure Active Directory и Active Directory B2C

Мы используем Active Directory B2C, чтобы пользователи наших клиентов могли входить в наше веб-приложение.

Недавно у нас были пользователи в 2 разных клиентских организациях, которым не удалось войти в систему. Им удалось продемонстрировать следующее.

  1. Они нажимают кнопку входа на нашем сайте @ https://www.mycompany.com
  2. Они перенаправляются на наш IdentityServer @ https://id.mycompany.com
  3. Далее они перенаправляются на https://login.microsoft.com

что должно случиться

что на самом деле происходит

Похоже, вы пытаетесь получить доступ к ресурсу, принадлежащему организации, не одобренной вашим ИТ-отделом.

Я думаю, что происходит следующее: поскольку Client.com сами используют Microsoft Azure Active Directory / Office 365, их административная группа настроила что-то, что сообщает Login.Microsoft.

"Мы владеем доменом client.com и если кто-нибудь когда-нибудь попытается использовать email@client.com адрес электронной почты в качестве идентификатора попытки входа в систему в другой арендатор, вы должны заблокировать их "

Это "особенность" AD? Ясно, что это то, что нам нужно обсудить с ИТ-отделом компании-клиента, но я бы предпочел вступить в этот разговор, вооружившись более подробной информацией о том, какую функцию мы просим их включить в белый список.

Да, это то, что компания-клиент может настроить, чтобы ограничить доступ своих пользователей к приложениям SaaS, это называется «Ограничения для клиентов».

По сути, администратор клиента может выбрать, в какой клиент могут входить их пользователи, используя свои учетные записи Azure AD.

Приятного чтения: https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/tenant-restrictions