【发布时间】:2016-09-23 14:56:28
【问题描述】:
我正在尝试为一个相当不寻常的场景提出一种身份验证方案。
我有多个 Azure Active Directory(可能有几十个)和多个 Web API 服务。 客户可以注册/登录到任一 AD,然后能够使用任一服务验证请求。
简单的解决方案需要我使用有关所有 AD 的信息来配置我的所有服务。 我试图避免这种多对多关系。
我考虑过构建一个集中式令牌交换服务器的解决方案,该服务器将发布一个标准化令牌,但我不确定这种方法有多安全,我宁愿使用“开箱即用”的解决方案,而不是实现我自己的。
你会如何解决这个问题?
【问题讨论】:
-
听起来像是一个多租户应用程序?您是否看过使用 Azure AD 构建多租户应用程序?
-
我调查过了。问题是用户不应该能够选择使用哪个 AD 登录。它应该由重定向用户登录的服务决定。
-
用户不选择。您输入您的电子邮件,它会根据您的电子邮件将您重定向到您组织的登录页面。
-
我没有提到用户应该能够在多个广告中使用相同的电子邮件地址,可能使用不同的密码
标签: security authentication oauth openid azure-active-directory