У вас есть 3 основных компонента из вашего описания.
- Веб-API
- Веб-приложение
- Пользователи
Если я не ошибаюсь, вы управляете этими 3 из клиента Azure AD. Сейчас планирую AD B2C.
должны ли мы использовать как Azure AD, так и Azure AD B2C?
Да, вам нужно использовать обоих арендаторов. Клиент AD для размещения веб-API и веб-приложения. AD B2C арендатор для управления пользователями
Если мы должны поддерживать оба способа управления пользователями в обеих AD?
Хорошо, если вы переместите всех пользователей в AD B2C, и вы сможете легко управлять ими с помощью запросов Graph API и социальных пользователей.
Если это невозможно, B2C IEF поддерживает настраиваемые политики, в которые можно интегрировать клиента Azure AD в качестве IDP в B2C. Вы можете разрешить существующим пользователям по-прежнему входить в систему со своими учетными данными AD (или вы можете перенести этих пользователей в B2C, это также возможно), а пользователи Social присоединяются непосредственно к арендатору B2C.
В каком AD я должен зарегистрировать приложение FE?
Вы должны зарегистрироваться в AD Tenant, но внутри этого приложения FE вам нужно использовать B2C для управления пользователями с помощью Graph API.
Как это работает?
Где бы вы ни находились: ваше веб-приложение и веб-API (либо в клиенте Azure AD, либо в AWS, либо в Google Cloud, либо в любом частном облаке), вам необходимо интегрировать B2C в эти приложения. После интеграции B2C он продолжит работу с клиентом Azure AD B2C.
Ваши следующие шаги:
- Интеграция B2C в веб-приложение и веб-API
- Приглашение пользователей [Приглашение пользователей в B2C]