Azure active directory 针对SaaS应用程序用户的Azure AD OpenId Connect

我正在将“本地WinForms应用程序”迁移到用ASP.NET核心编写的“多租户SaaS应用程序”。SaaS应用程序将由多个租户使用，而这些租户不会看到彼此的数据。在我们的传统产品中，用户配置文件和凭据存储在每个客户的数据库中，客户可以根据自己的需要在系统中添加/删除用户

在web环境中，通过将用户配置文件和凭据与应用程序数据本身分离，身份提供者似乎是建议的路由。然而，我们的大部分数据都与用户ID相关联，因此了解哪个用户创建了记录是很重要的

现在，在Azure广告中，安装程序会将所有客户的所有用户放入一个Azure广告中。我对此没有特别的问题，但我如何知道用户帐户属于哪个客户

例如，customer ACME有两个用户：Bob和Bill。我的另一个客户FOOBAR有两个用户：Jean和Jack。如果Jean针对Azure AD进行身份验证，我需要知道FOOBAR的唯一ID，这样我就可以过滤web应用程序中的数据。当Azure AD从OpenId Connect发回IDToken时，声明中的租户ID是我公司的租户ID，而不是客户的租户标识符

如果我们要部署多租户SaaS应用程序并使用Azure AD进行身份验证，并且仍然控制哪些用户可以访问该应用程序，那么推荐的设置是什么？Azure Active Directory B2B？

您使用（每个客户一个）对用户进行分组，以便在令牌中获得他们