Я конвертирую веб-приложение для совместной работы Azure AD B2B.
В настоящее время он проверяет подлинность пользователей внутренней организации через Azure AD (API Microsoft Graph V2) и проверяет издателя токена следующим образом:
TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = true,
ValidIssuer = validIssuer
},
Действительный издатель приходит из статического параметра web.config.
Вышесказанное работает нормально, если вы имеете дело со статическими арендаторами, то есть только пользователи из организаций A, B, C должны иметь доступ к приложению.
В моем сценарии мне нужен динамический список доменов (contoso.com, xyz.com и т. Д.), С которых пользователи могут проходить аутентификацию.
Я понимаю, что это можно сделать на уровне приложения, проверив утверждения токена и проверив, совпадает ли домен имени пользователя с белыми доменами приложения. Однако мне интересно, могу ли я делегировать эту проверку либо:
- конвейер аутентификации (проверка издателей)
- на уровне Azure AD (это означает, что пользователи даже не получат доступ к приложению, если они не приходят из утвержденных доменов). Это было бы идеально.