Сотрудничество AAD B2B: помечать пользователей во внешнем скрытом AAD дополнительной информацией - PullRequest
0 голосов
/ 12 июня 2018

У нас есть приложение, которое использует сотрудничество AAD B2B для приглашения пользователей.Эти пользователи создаются как гостевые пользователи в нашей AAD.Все это прекрасно работает:

  • Пользователи, имеющие AAD / Office 365, могут использовать свои обычные учетные данные для входа в систему.
  • Пользователи, не имеющие AAD / Office 365, создают своиучетная запись в процессе погашения приглашения и может использовать ее для входа. Microsoft сохраняет эти учетные записи во внешней, скрытой для нас AAD.

Ситуация:

Организация использует наше приложение,Эта организация еще не имеет собственного AAD / Office 365.Мы приглашаем некоторых сотрудников этой организации в нашу AAD, используя их адреса электронной почты.Они получают гостевые аккаунты в нашем AAD.Через некоторое время эта организация получает свой собственный AAD / Office 365 для существующего доменного имени.Это доменное имя ранее использовалось в адресах электронной почты в процессе погашения приглашения.

Администратор AAD организации создает AAD и сразу видит существующие учетные записи пользователей: все приглашенные учетные записи отображаются в AAD,Он не ожидал этого при создании нового AAD, и он не знает, откуда они берутся.Похоже, что внешний, для нас скрытый AAD, стал видимым для администратора AAD.Администратор AAD может решить удалить эти учетные записи, чтобы начать с пустой AAD.В результате сотрудники больше не могут входить в наше приложение.

Наше приложение использует Microsoft Graph API для приглашения пользователей.Есть ли способ пометить пользователей во внешнем скрытом AAD каким-либо образом, чтобы было ясно, откуда поступают учетные записи?Как упоминание нашей организации / приложения в существующей области?

Итак, чтобы быть ясным: мы не хотим устанавливать свойства для гостевой учетной записи.Мы хотим установить свойства учетной записи пользователя, которую видит администратор AAD при создании AAD.Мы хотим дать понять, что он не должен удалять этого пользователя, потому что он создан / для приложения X.

1 Ответ

0 голосов
/ 12 июня 2018

Нет, это особенность Azure AD.Владелец домена может принять скрытое Azure AD, если он решит создать его позжеОни контролируют домен и, таким образом, контролируют пользователей, так что это зависит от них.

Теперь, конечно, если вы создаете пользователя AAD Guest с учетной записью Gmail, они фактически не добавляются в огромный скрытый GoogleAzure AD.Если AAD считает, что эта учетная запись является социальной учетной записью, в настоящее время они прозрачно создают личную учетную запись Microsoft для этого пользователя (таким образом, пользователь всегда контролирует свою учетную запись).

Поэтому, если вы приглашаете пользователей, используя их рабочие электронные письма,вы должны ожидать, что владелец домена будет контролировать учетные записи своих пользователей.

AFAIK, свойства, которые вы можете установить, отсутствуют.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...