【发布时间】:2020-01-03 22:11:53
【问题描述】:
我有两个 azure 租户(租户 A 和租户 B)。
我在租户 B 中有一个注册应用 (App001),其中“支持的帐户类型”设置为“仅限我的组织”。
以下是复制问题的步骤:
- 使用帐户 A001 登录租户 A 的门户 (portal.azure.com)
- 打开新标签并尝试登录应用程序 (App001)。它根本不会提示我输入帐户 B001。它使用帐户 A001 登录并收到此错误: AADSTS90072:来自身份提供商“{A001 的电子邮件域}”的用户帐户“{EmailHidden}”在租户“{租户 A}”中不存在,并且无法访问应用程序“xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx”({App001 的名称}) 在该租户中。需要先将该帐户添加为租户中的外部用户。注销并使用其他 Azure Active Directory 用户帐户重新登录
出现此错误是意料之中的,因为应用程序的设置不允许不同租户/目录的用户进行身份验证。
问题/问题是为什么它没有提示我为租户 B 输入帐户? 有什么地方我应该看一下设置吗?
【问题讨论】:
-
你试过隐身浏览器模式吗?
-
您的应用程序是否使用租户特定权限? IE。是否使用例如
https://login.microsoftonline.com/tenant-id? -
根据您配置身份验证流程的方式,浏览器使会话保持活动状态,今天所有主要浏览器都在选项卡之间共享会话。很可能不会要求您再次登录,因为重定向到 login.microsoftonline.com 会看到您已经有一个实时会话并立即将您重定向回应用程序。您可以检查该域的 cookie,并按照浏览器网络选项卡中的登录流程(只需将保留日志设置为启用,以便保留所有重定向)
-
@ThiagoCustodio 具有隐身浏览器模式,它可以工作。那是一个干净的开始(没有cookie)。但问题是为什么?它应该提示我输入用户名/密码,不是吗?我已经为其他租户尝试了相同的步骤,完全没有问题。看起来与租户 B 或 App001 的设置有关。只是不知道去哪里/找什么。
-
@juunas 是的。它正在使用租户/特定权限。
标签: azure azure-active-directory