Azure AD и Azure B2c

Question

У нас есть интерфейсное веб-приложение, размещенное в Azure, которое зарегистрировано в клиенте Azure AD. У нас также есть фоновые веб-приложения, которые предоставляют API через шлюз API для использования интерфейсным приложением.

Используя приложение FE, мы вызываем API для добавления пользователей в систему (сервер использует API-интерфейсы Microsoft Graph). Это означает, что пользователь добавляется в Azure AD, и мы сохраняем oid из AD и другие сведения в базе данных SQL для дальнейшего использования в бизнесе. Все эти пользователи находятся в Azure AD (без внешних).

Теперь нам нужно пригласить внешних пользователей с социальными идентичностями (например, Google, Facebook) в приложение, которое мы объединяем, и использовать Graph API для приглашения пользователей. Мы также хотим, чтобы пользователь самостоятельно регистрировался / подписывался. Решение состоит в том, чтобы перейти на B2C AD (приложение может остаться, а может и не остаться прежним). Сначала мы думали, что все существующие подписки и сервисы, созданные в Azure AD, можно перевести на клиента B2C, но я обнаружил, что это невозможно.

Теперь я в замешательстве:

• должны ли мы использовать как Azure AD, так и Azure AD B2C?
• Если мы должны поддерживать оба способа управления пользователями в обеих AD?
• В каком AD я должен зарегистрировать приложение FE?
• Как это работает?

Answer 1

У вас есть 3 основных компонента из вашего описания.

1. Веб-API
2. Веб-приложение
3. Пользователи

Если я не ошибаюсь, вы управляете этими 3 из клиента Azure AD. Сейчас планирую AD B2C.

должны ли мы использовать как Azure AD, так и Azure AD B2C?

Да, вам нужно использовать обоих арендаторов. Клиент AD для размещения веб-API и веб-приложения. AD B2C арендатор для управления пользователями

Если мы должны поддерживать оба способа управления пользователями в обеих AD?

Хорошо, если вы переместите всех пользователей в AD B2C, и вы сможете легко управлять ими с помощью запросов Graph API и социальных пользователей.

Если это невозможно, B2C IEF поддерживает настраиваемые политики, в которые можно интегрировать клиента Azure AD в качестве IDP в B2C. Вы можете разрешить существующим пользователям по-прежнему входить в систему со своими учетными данными AD (или вы можете перенести этих пользователей в B2C, это также возможно), а пользователи Social присоединяются непосредственно к арендатору B2C.

В каком AD я должен зарегистрировать приложение FE?

Вы должны зарегистрироваться в AD Tenant, но внутри этого приложения FE вам нужно использовать B2C для управления пользователями с помощью Graph API.

Как это работает?

Где бы вы ни находились: ваше веб-приложение и веб-API (либо в клиенте Azure AD, либо в AWS, либо в Google Cloud, либо в любом частном облаке), вам необходимо интегрировать B2C в эти приложения. После интеграции B2C он продолжит работу с клиентом Azure AD B2C.

Ваши следующие шаги:

1. Интеграция B2C в веб-приложение и веб-API
2. Приглашение пользователей [Приглашение пользователей в B2C]