Как реализовать единый вход, который может подключаться к нескольким активным каталогам?

Question

Мне нужно реализовать аутентификацию пользователя путем чтения из нескольких активных каталогов.Если это возможно, каким будет стандартный способ хранения сведений о конфигурации каждого каталога (ClientId, ClientSecret, AADInstance и т. Д.)?

Answer 1

Можете ли вы поместить пользователей из нескольких доменов в группу безопасности? Тогда вам просто нужно авторизовать группу безопасности.

<authentication mode="Windows" />
    <authorization>
      <allow roles="SecurityGroup" />
      <deny users="*" />
    </authorization>

Answer 2

Лучший подход здесь, как правило, заключается в создании мультитенантного приложения. Многопользовательское приложение позволяет пользователям из любой организации Azure AD войти в систему, а затем просто проверяет, является ли зарегистрированный пользователь одним из ожидаемых арендаторов.

При таком подходе ваше приложение имеет только один идентификатор клиента и одну учетную запись (я настоятельно рекомендую использовать ключевые учетные данные, а не парольные учетные данные (т. Е. Секрет клиента)), который используется, когда любой пользователь из любой организации выполняет вход в систему. .

«Предоставление» вашего приложения каждому арендатору выполняется при первом входе пользователя в систему и согласии с ним.

Подробнее: https://docs.microsoft.com/azure/active-directory/develop/single-and-multi-tenant-apps

Подробное руководство по созданию мультитенантного приложения: https://docs.microsoft.com/azure/architecture/multitenant-identity/