Рекомендуется ли использовать Azure Active Directory для аутентификации для приложений, ориентированных на пользователя?

Question

Мы создаем серверную часть в Azure для клиентских веб-и мобильных (нативных) приложений. Первоначально планировалось использовать Azure AD для управления учетными данными и аутентификацией пользователей. Однако в процессе исследования я обнаружил следующие три вещи, которые убедительно указали мне, что Azure AD не предназначен для использования для аутентификации в клиентских приложениях.

1. Рекомендуемый подход для входа в систему - перенаправление на страницу входа в Azure AD. Эта страница может быть несколько адаптирована под фирменный стиль компании, но этот бренд даже не отображается при любых обстоятельствах. Этот способ входа в систему хорош для внутреннего инструмента компании, но кажется очень липким для приложения, ориентированного на клиента; особенно если это приложение является родным мобильным приложением. Эта проблема и возможный обходной путь обсуждаются по ссылке ниже, но обходной путь выглядит как хак и кажется противоречит всей документации, которая была опубликована по этому вопросу.

https://vincentlauzon.com/2017/01/29/authenticating-to-azure-ad-non-interactively/

2. Для аутентификации Azure AD все пользователи должны иметь учетную запись Microsoft, и я не хочу требовать, чтобы мои клиенты создавали учетную запись Microsoft, если у них ее еще нет или если они хотят использовать адрес электронной почты для моего приложения который отличается от электронной почты, используемой их учетной записью Microsoft.

3. Похоже, что нет хорошего способа создания пользователей с адресами электронной почты из любого домена. Я мог бы рассматривать всех своих клиентов как «гостевых пользователей» в Active Directory, но тогда мне придется использовать систему приглашений по электронной почте Active Directory при каждом создании нового пользователя в Azure AD. Это не вариант для меня.

Правильно ли я изложил эти факты? Правильно ли я пришел к выводу, что Azure AD не является хорошим выбором для хранения учетных данных пользователей для приложений, ориентированных на пользователя? Если да, каков рекомендуемый способ обработки проверки подлинности для клиентского приложения, серверная часть которого размещена в Azure?

Большое спасибо за любые ответы! Похоже, я не могу найти никаких обсуждений по этой теме!

Answer 1

Для вашего сценария я предлагаю вам использовать Azure AD B2C для приложений, ориентированных на клиента.

1. Для пользовательского интерфейса

Вы также можете использовать функцию настройки пользовательского интерфейса страницы, чтобы настроить внешний вид любой политики.

2. Для разных ВПЛ

Поставщик удостоверений - это услуга, которая аутентифицирует клиента личность и выдает токены безопасности. В Azure AD B2C вы можете настройте количество поставщиков удостоверений в вашем клиенте, таких как Учетная запись Microsoft, Facebook или Amazon и другие.

3.Для создания пользователей с адресами электронной почты из любого домена

Пользователи могут зарегистрировать любой адрес электронной почты любого домена с помощью Azure AD B2C. Эти учетные записи, созданные пользователями, будут локальными и хранятся в Azure AD B2C.

В целом Azure AD используется для организации. Если вы хотите защитить свое приложение напрямую от клиентов, Azure AD B2C - это лучший выбор. В Azure AD B2C есть много функций, и вы можете обратиться к официальному документу для получения дополнительной информации.