Azure AD B2C 多租户架构答案

【问题标题】：Azure AD B2C Multi-Tenant ArchitectureAzure AD B2C 多租户架构
【发布时间】：2020-06-08 14:31:55
【问题描述】：

Microsoft Azure AD B2C 是否支持多租户架构？下图是我们的架构。我创建了一个 Azure AD B2C 服务调用 Tenant(Client) 和一个指向我的订阅帐户的链接。我已经在该租户中注册了 UI 和 API 应用程序。然后我在租户中以管理员身份创建了用户。管理员创建用户来访问我的应用程序。我们计划实施 Azure AD B2C 的多租户来访问单个 Angular 应用程序 (UI)。
示例：

我创建了一个 Azure AD B2C 服务调用 TenantA(Client A) 和一个指向我的订阅帐户的链接。然后我在 TenantA 中以管理员身份创建了用户。管理员创建用户来访问我的应用程序。我已注册

我创建了一个 Azure AD B2C 服务调用 TenantB(Client B) 和一个指向我的订阅帐户的链接。然后我在 TenantB 中以管理员身份创建了用户。管理员创建用户来访问我的应用程序。

Client A(Tenant A) 和Client B(Tenant B) 的多个租户用户应访问单个 UI 应用程序并应访问单个 API 应用程序。

如何在 UI 和 API 应用程序中为两个租户注册相同配置？

【问题讨论】：

您好，如果发布的任何答案解决了您的问题，请单击复选标记将其标记为答案。这样做有助于其他人找到问题的答案。

标签： angular asp.net-web-api azure-ad-b2c azure-ad-b2b

【解决方案1】：

根据您的要求，您可以通过将 Azure AD 单租户应用程序启用到多租户应用程序并将端点设置为 https://login.microsoftonline.com/common 来实现此目的

这样就有了单一的应用程序注册/UI/WebAPI，来自两个租户的用户都可以访问您的应用程序。

参考link

如果您特别在寻找 Azure AD B2C 多租户应用程序，您可以参考此link

【讨论】：

但是在Azure AD B2C中他们不会支持login.microsoftonline.com/common这种类型的Url的
在将 Azure AD B2C 与 Azure AD 的 common endpoint 联合时，您可以与以下任一方式集成：The v1.0 endpoint: https://login.microsoftonline.com/common/oauth2/authorize The v2.0 endpoint: https://login.microsoftonline.com/common/oauth2/v2.0/authorize

【解决方案2】：

你不能，每个租户 api 范围都是唯一的，因为它基于租户 ID。

您可以将所有用户放在同一个租户中，或者使用支持多个令牌颁发者的库。

或者，如果您确实需要隔离身份，您可以将单个 B2C“漏斗”租户与多个客户 B2C 租户联合起来，并使用家庭领域发现来路由传入用户的身份验证流。这种方法必须确保电子邮件在范围内的所有租户中是唯一的。漏斗租户会要求用户提供电子邮件，使用自定义策略调用 REST API，该 API 将使用 Graph API 在所有租户中查找电子邮件。找到租户后，它会告诉渠道租户将用户重定向到哪个 B2C 联盟以完成身份验证。

【讨论】：

感谢您的回复。有没有例子可以实现