Блокировка доступа Microsoft Graph только к одному домену - PullRequest
Новая
       8

Блокировка доступа Microsoft Graph только к одному домену

0 голосов
/ 19 сентября 2018

Я много раз искал, чтобы узнать, как я могу изменить настройки своего приложения Microsoft Graph, чтобы разрешить вход только с моего собственного домена.

Поскольку вход с Graph принимает все учетные записи Microsoft, яЯ искал различные решения, от поиска пользовательских конечных точек токена до изменения манифеста приложения.

В моем манифесте я могу найти это "signInAudience": "AzureADandPersonalMicrosoftAccount" - но я не могу найти в документации, какие еще есть вариантыare.

также на этой странице Microsoft я могу найти эту информацию

Общее решение включает в себя следующие компоненты:

  1. Azure AD - если присутствует Restrict-Access-To-Tenants: <permitted tenant list>, Azure AD выдает маркеры безопасности только для разрешенных арендаторов.

Есть ли в Интернете хорошие руководства или кто-нибудь, кто знаеткак я могу ограничить доступ для людей, которые выполняют вход только с учетными записями @xxxxx.com или xxxxx.onmicrosoft.com?

1 Ответ

0 голосов
/ 19 сентября 2018

Я думаю, вы неправильно понимаете, как работает Microsoft Graph.Он подключается к арендатору / домену пользователя, проходящего аутентификацию.Так что если я аутентифицируюсь с user@contoso.com, приложение будет иметь доступ только к contoso.com арендатору.

С точки зрения самого процесса проверки подлинности это выполняется Azure AD.Microsoft Graph просто принимает токены AAD.Вы можете ограничить этот процесс для пользователей данного арендатора, изменив URL-адреса /Authorization и /Token, используемые вашим приложением.

В большинстве случаев приложения используют клиента /common.Когда пользователь аутентифицируется по /common, AAD обрабатывает обнаружение фактического арендатора / домена пользователя и направляет запрос в этот экземпляр AAD для обработки.Эти URL выглядят так:

Если вы хотите ограничить проверку подлинности одним арендатором, вы можете пропуститьпроцесс обнаружения и принудительная проверка подлинности AAD / OAuth против одного клиента AAD.Только пользователи, которые существуют в этом арендаторе, смогут проходить аутентификацию.Это делается путем обмена /common с идентификатором арендатора:

...