我对 MS/AD 的所有事情都很陌生,并且来自应用程序开发人员方面,所以如果我没有使用正确的术语,请耐心等待。我无法在在线文档中找到对此的确认,非常感谢任何可能有帮助的想法或链接。
场景:我的组织是一家 O365 商店,在 Azure 中有很多东西。其中一个项目是一个包含多个 Web 应用程序的自定义平台。大多数应用程序由我们自己的人员通过 SSO 访问,但其中一些应用程序将由我们合作伙伴/供应商的外部用户访问。其中一些是 MS 商店,但大多数不是,我们不能要求 MS 帐户。
变化:我们需要将用户管理委托(delegate)给我们的合作伙伴/供应商。举个例子,对于 app3,我们将有大量需要访问的合作伙伴/供应商组织。我们希望让该组织中的 1 个人负责邀请其同事并在有人离开其组织时删除人员。在许多情况下,他们不一定具有相同的电子邮件地址域,因此我们不能以这种方式进行限制/分组。在其他情况下,我们需要全局组织的每个国家办事处都有自己的委派管理员来管理员工,因此可能存在单独的组织,其用户具有相同的电子邮件地址域。
我的问题:Azure AD B2C 是解决此问题的正确方法吗? 它可以支持这种委托(delegate)管理(类似 https://learn.microsoft.com/en-us/azure/active-directory/active-directory-accessmanagement-self-service-group-management )吗?
我们是否需要为每个外部组织配置单独的 Azure AD B2C 目录,还是应该将这些目录分组到一个 Azure AD B2C 目录中?
最佳答案
目前Azure AD B2C 中没有对用户管理委派的现成支持,无论是使用本地 (.onmicrosoft.com) 将用户管理委派给其他 B2C 管理员帐户或使用本地 (@myemail.com) 或社交帐户的外部用户。 Azure AD B2C 不支持self-service group management capabilities任何一个。您可以在 Azure AD B2C feedback forum 中请求其中任何一个.
这些应用程序的同一实例是否会支持来自多个组织的人员?
如果答案是否定的,这意味着您将为组织 A 提供一个应用程序实例,为组织 B 提供另一个应用程序实例,那么您绝对可以拥有多个 Azure AD B2C 目录,并将每个应用程序连接到每个目录。
如果这些应用程序的单个实例需要支持多个这样的组织,那么我可以为您想到两个选项:
使用 Azure AD B2C 并自行构建所有委派和用户管理逻辑。您可以拥有custom attributes为用户分配他们的“组织”,另一个指示他们是否可以管理用户。然后,您需要创建一个用户管理 UI,用于查询同一“组织”中所有用户的图表,并让用户管理这些用户。您还需要构建邀请功能,首先通过 Azure AD Graph 创建用户进入此 UI。并相应地设置其“组织”声明,然后引导用户使用密码重置策略作为其“帐户验证”流程。
使用 Azure AD 和 B2B 协作功能(包括其 delegate invitations 的能力)。这也打开了self-service group management capabilities你引用了。如果您不希望这些用户访问组织中的其他内容,您可能需要为此创建一个单独的 Azure AD 租户,并通过 B2B 协作邀请 Azure AD 中的人员。
<
从概念上讲,B2C 适用于外部用户,而 Azure AD 适用于内部用户,B2B 通过与这些内部用户充分协作的合作伙伴来补充这些内部用户,这些内部用户几乎被视为内部用户。话虽如此,请使用最适合您需求的一种。不要忘记记住他们的定价模型非常不同。
关于azure - 在 Azure AD B2C 中,我可以指定外部用户来管理其他外部用户帐户吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44725261/