Security

Azure Active Directory 和 Active Directory B2C 衝突

  • June 8, 2020

我們使用 Active Directory B2C 來允許我們的客戶使用者登錄到我們的網路應用程序。

最近,我們有 2 個不同客戶組織的使用者無法登錄。他們能夠證明以下內容。

  1. 他們點擊我們網站@ https://www.mycompany.com上的登錄按鈕
  2. 他們被重定向到我們的 IdentityServer @ https://id.mycompany.com
  3. 他們被進一步重定向到https://login.microsoft.com

應該發生什麼

  • 使用者現在應該通過正常的登錄流程

    • 提供他們之前在我們的 ADB2C 中設置的使用者名 (john@client.com)
    • 提供他們在邀請過程中設置的密碼
  • 被重定向回我們的身份伺服器

  • 被重定向回我們的 Web 應用程序

實際發生了什麼

  • 使用者輸入他們的電子郵件地址 (john@client.com)
  • Microsoft 立即介入並提供以下消息

您似乎正在嘗試訪問屬於未經您的 IT 部門批准的組織的資源。

我認為正在發生的事情是因為 Client.com 自己使用 Microsoft Azure Active Directory/Office 365,他們的管理團隊已經設置了一些東西來告訴 Login.Microsoft

“我們擁有域**‘client.com’,如果有人試圖使用email@client.com**郵件地址作為登錄嘗試其他租戶的身份,你應該阻止他們”

這是AD的“功能”嗎?顯然,這是我們需要與客戶公司的 IT 部門討論的事情,但我更願意帶著更好的資訊進行對話,了解我們要求他們將我們列入白名單的功能。

是的,這是客戶公司可以配置來限制他們的使用者訪問 SaaS 應用程序的東西,它被稱為“租戶限制”。

基本上,租戶管理員可以選擇他們的使用者可以使用其 Azure AD 帳戶登錄的租戶。

閱讀愉快:https ://docs.microsoft.com/en-us/azure/active-directory/manage-apps/tenant-restrictions

引用自:https://serverfault.com/questions/1020503