如何匿名传出 AzureAD/B2C 租户 ID?

【问题标题】:How can I anonymize outgoing AzureAD/B2C Tenant ID?如何匿名传出 AzureAD/B2C 租户 ID?
【发布时间】:2017-06-05 16:27:20
【问题描述】:

假设我购买了位于 Azure AD 租户 1.(资源林的同义词)中的多租户应用程序(HR 软件)。

我还购买了位于 Azure 租户 2 中的另一家公司拥有的健康应用程序。

我不拥有租户 1 和 2 的管理权限。

问题 1

  • 作为 Office 365/AzureAD 林的管理员,我如何允许用户登录到这些租户,但防止他们的用户 ID 在我不拥有的应用程序之间关联?

换句话说,我不希望黑客或其他实体在应用程序 1 和应用程序 2 之间串通和“加入”数据。

我关心的价值观包括:

TenantIdenfifiers
http://schemas.microsoft.com/identity/claims/tenantid:
iss:

UserIdentifiers
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name: 
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn: 
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier:
http://schemas.microsoft.com/identity/claims/objectidentifier: 
name
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname: 
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname:

问题 2

  • 除了上面列出的值之外,我还应该关注哪些其他值合谋重建匿名用户? (例如 msft 图、office API 等)

【问题讨论】:

    标签: azure office365 azure-active-directory openid-connect azure-ad-b2c


    【解决方案1】:

    用户和租户的唯一标识符始终在常规 Azure AD 中传递。你真的无能为力。

    应用程序需要这些属性。租户 ID 用于了解您的订阅内容、您有权访问的数据等。用户对象 ID 可用于识别用户,因为用户主体名称可以更改。

    但是您的租户的用户无法登录到那些租户,除非他们被添加为访客,并且他们接受它。

    您为其购买订阅的应用通常是多租户的,因此您的租户管理员必须允许登录该应用。完成后,您的租户的用户可以在那里登录。在这种情况下,他们仍在登录您的租户,但该应用已通过为其创建的服务主体在您的租户中获得权限。

    对于 Azure AD B2C,您可以影响向应用程序提供的声明。但问题当然是 B2C 不支持多租户应用程序。 Not yet 至少。稍后我们可能还可以在 B2C 中允许 Azure AD 身份验证。但即便如此,应用程序所有者仍控制着声明和应用程序。

    【讨论】:

      猜你喜欢
      • 2021-10-24
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2019-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2015-08-27
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode