我们正在构建一个企业产品,并希望很多客户没有自己的活动目录。
我们计划使用 AAD 作为我们的 IAM 提供商。
我们计划为产品创建一个主 AAD,然后使用他们的企业电子邮件 ID 邀请每个客户(租户)的用户作为外部用户加入主 AAD。给定客户的每组用户都将添加到外部组以进行管理。
对于托管在 Azure 中的产品,这是否是支持多租户 IAM 的正确方法?
【问题讨论】:
标签: azure azure-active-directory
这是一个相当难的问题。 AAD 的多租户基本上要求组织拥有 AAD 以进行适当的分离等。
但对于没有 AAD 的组织,这是一种选择。
在此路径中您一定不能忘记的一件重要事情是打开 AAD 租户中的选项以限制来宾用户权限。这使得受邀用户不能只访问 portal.azure.com 并获取租户中所有用户的完整列表。至少当多个客户端在同一个租户中时,这通常是一个理想的事情。
其他选项可能是:
如果他们只有 AAD,一切当然会更容易:)
【讨论】:
这取决于您要遵循的方法的一些细节。如果您希望他们使用他们的企业电子邮件,那么您可以考虑使用Single Sign-On(许多组织希望不需要重复帐户,您可能希望将重设密码的麻烦委托给您的客户)。
此外,您需要确定需要什么样的隔离(您希望拥有一组用户还是按租户明确分离?)和预算(AAD 成本是按每个用户衡量的)您有这个吗? Azure AD B2C 也可以是一种选择,或者正如@juunas 所提到的,使用IdentityServer 之类的东西来实施您自己的解决方案。
【讨论】: