我正在创建一个 Web api 应用程序,该应用程序将使用 Oauth 进行身份验证进行保护。我可以将身份验证设置为个人帐户和组织帐户的混合吗?
场景:一组用户属于使用 Office 365 的组织。另一组用户可能不属于。最终目标是允许所有用户登录,但对于组织用户,我还希望允许他们与与其组织相关的 Office365 api 集成。
是否有一种解决方案设计允许我选择在哪里对用户进行身份验证 - 使用应用程序的 Azure AD 或订阅组织的 AD?
【问题讨论】:
标签: azure authentication asp.net-web-api oauth-2.0
对于仅对 MSA 和 AAD 组织进行身份验证,您可以使用新的 Microsoft Graph (http://graph.microsoft.io) - 它是所有 Microsoft 身份和请求访问邮件、日历等内容的统一端点。它使用 v2 AAD 端点(如下所述)和应用注册是通用的,因此您可以使用组织或个人帐户登录。
您可以使用 Azure B2C 作为拥有目录来扩展它。
此时用户可以使用消费者帐户(Facebook、微软、谷歌等)登录。通过扩展,因为对于 MSA,它使用新的 v2 端点,您可以提示用户使用 MSA 或 org cccount 登录 - 用户会收到如下提示。请注意“工作或学校,或个人 microsoft 帐户。”
v2 有一些限制,但是:https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-v2-compare 所以在深入研究之前确保你可以做任何你想做的事情。一些回复 URL 和代表流程(就像你在 API 中看到的那样)有一些域/观众限制。
【讨论】: