Je suis nouveau sur C# et Azure AD, alors n'hésitez pas à me donner quelques conseils et ressources pour savoir comment autoriser uniquement l'authentification unique et l'autorisation pour mon application MVC. ma liste de clients approuvés. J'ai une petite application que j'héberge sur une machine virtuelle Azure et qui utilise Azure AD avec Azure AD en utilisant OpenID Connect. J'ai fait l'inscription de l'application multi-locataire dans Azure AD. J'ai mis en place un nouveau compte org avec certains utilisateurs pour tester dans Azure AD. Je lis this guide, ce qui est bon, mais s'arrête en notant dans ses exemplesMeilleures pratiques d'authentification multiclient et de filtrage d'authentification Azure AD
validation de l'émetteur est désactivé pour permettre à tout locataire Azure AD pour vous connecter
Je ne peux pas trouver guide pour savoir comment qualifier le locataire comme une organisation, je veux accéder à mon application. Quelle est la meilleure façon d'autoriser des utilisateurs, disons, du domaine CustomerCompany.com mais pas SomeOtherCompany.com même si les deux ont des comptes org azur AD?
Je ne souhaite pas gérer la liste des utilisateurs. Par conséquent, les éléments B2B de la collaboration Azure AD ne remplissent pas la facture (chargement des listes d'utilisateurs et émission d'invitations). Je voudrais que le client maintienne sa propre liste d'utilisateurs.
Je veux d'abord simplement autoriser les utilisateurs de mes clients et refuser tous les autres.
- Y a-t-il un moyen de créer une relation entre mon organisation et les autres utilisateurs d'Azure AD et d'autoriser/refuser l'autorisation à mon application via ces relations lors de la connexion AAD?
- Existe-t-il une valeur tenantid provenant d'Azure AD que je peux comparer à une liste conservée dans le serveur SQL pour autoriser/refuser l'autorisation après la connexion AAD? Est-ce typiquement un nom de domaine ou un GUID ou une autre valeur que je dois obtenir du client?
Si le client veut limiter l'utilisation de mon application à certaines personnes dans leur org est-il la meilleure pratique à:
- Demandez le registre client mon application ou attribuer une certaine façon à des groupes qu'ils mettent en leur propre Azure AD afin que l'utilisateur ne s'authentifiera pas si non autorisé par leur administrateur? OU
- Interrogez le profil d'utilisateur entrant sur mon serveur pour obtenir une certaine valeur (appartenance à un groupe, service, gestionnaire, etc.) à l'aide de l'API graphique et autoriser/refuser en fonction de cette valeur?
Nous vous saurions gré de toutes les instructions pratiques et pratiques que vous pouvez fournir à un débutant. Je vous remercie.