Azure active directory 将外部azure Active Directory集成到ADB2C中

我需要将多个外部azure活动目录集成到我的应用程序（multitenant）中。目前我正在使用广告B2C。简言之，任何购买我的产品的客户都应该能够将他们的组织azure active directory与我的应用程序集成，并且这些广告用户应该能够登录到应用程序而无需注册

• 我尝试的方法之一是通过请求客户端在其AD中创建应用程序以进行身份验证和授权，从而验证外部azure active directory用户。但这似乎有点棘手，因为我们已经在B2C租户中创建了应用程序，我们在B2C租户中使用并保护应用程序的API。由于有多个AD，api将需要使用多个ID进行保护。如何做到这一点

• 第二种方法是使用graph api读取外部azure active directory用户，并邀请他们作为来宾用户。但是这里创建的任何来宾用户即使在将“来宾”用户类型更改为“成员”用户类型后也无法登录到应用程序。有什么想法来实施这个吗

更新 我完成了中的所有步骤，但当我尝试在输入凭据后使用Azure AD帐户登录时，它会将我导航到B2C注册页面。这是因为我的B2C租户中没有该广告帐户。完成注册后，我将能够登录到应用程序并获得令牌。广告用户是在我们的B2C租户中创建的，其来源是

联合Azure Active Directory

---

在输入凭据后，是否仍然可以避免导航到注册页面，而是立即使用令牌登录到应用程序，这样用户就不会在我们的B2C租户中创建，并且可以从客户端的Azure AD验证用户。您最好将AAD B2C与Azure AD Common endpoint联合起来。这允许任何拥有O365帐户的用户从任何Azure AD租户登录到您的服务

然后，您可以将租户列入白名单，这样只有您客户的Azure AD帐户才能通过此单一选项登录。客户只需向您提供他们的租户即可

https://sts.windows.net/00000000-0000-0000-0000-000000000000,https://sts.windows.net/11111111-1111-1111-1111-111111111111

为单个组织创建单独的B2C租户可能是一个解决方案

您将把每个Azure广告租户与组织的内部部署广告集成。 为了同步这两个广告，您需要使用Azure AD Connect

（更多信息请参见MSDN:）

同步广告后，您的web应用程序将为单个B2C租户请求访问权和id令牌

有关如何使用OIDC运行各种用户旅程的更多信息，请阅读此处：

---

我想用下面的答案来做些贡献，但我相信你对这些东西更了解：-D@Jas苏瑞这是我从来没想到过的。Thank将让您知道它是否有帮助：）在userjourney部分，删除引用：TechnicalProfileReferenceId=“SelfAsserted Social”的编排步骤。该步骤（未修改的SocialLocal starter pack中的步骤4）将调用B2C页面，该页面在使用外部IdP登录后要求用户提供显示名称等。它不会影响正常注册，因为此步骤仅触发外部认证用户。对于注册，第2步将有一个objectId，因此他们总是跳过第4步。因此，删除它对本地注册没有影响。啊，是的，这是正确的。对于每个外部idp技术配置文件，都有一个名为authenticationSource的输出声明。它被设置为每个idp的静态默认值（由您决定字符串值）。您可以在步骤4的前提条件中使用此选项，以便在authenticationSource=AzureAD时跳过该步骤。这样，对于任何不是AzureAD Auth而是外部Auth的新注册，例如Facebook/Google。。该步骤仍将触发。你调查过AAD B2B吗？它可能更适合你的问题。@Vic是的，我看过了。但我需要有B2C功能以及。感谢回复：）请注意-通过B2C门户或来宾机制添加用户是为了B2C管理员用户，即可以登录门户的用户。如果您希望用户（例如，可以登录B2C应用程序的客户）必须自行注册或通过Graph API添加。我希望有一个B2C租户，但多个AAD租户需要与应用程序集成。无需为每个客户设置一个b2c租户。谢谢您的时间：）