Azure AppService上ASP.NET MVC核心上SPA中的标识

我正在探索在Angular应用程序中使用ASP.NET Core 3.1后端实现用户身份验证和授权的选项，该应用程序将部署到Azure AppService

只有选定的受邀请用户才允许使用该应用程序。所有人都无法访问“创建帐户”页面。这些用户的子集可能是我们公司的用户，因此利用他们的Active Directory身份并允许SSO将是非常好的。应用程序将是多租户的。所选租户/用户可能需要多因素身份验证（例如，基于角色）。我们不想允许登录第三方身份提供商，如FB、谷歌等

根据我在上的探索，我有2（4？）个选项

ASP.NET核心标识-简单、内置、知名。但可能不允许我实现SSO，用户将需要另一个登录/通行证。我不确定它是否支持邀请用户（开箱即用），或者这是我需要自己实现的东西。密码重置也一样。它允许我向存储用户实体（TenantId）添加自定义属性以实现多租户，但我需要部署SQL Server数据库并自己管理它

Azure广告（B2B、B2C）-这对我来说是新鲜事。我的理解是，通过Azure AD Connect，我可以在AD和Azure AD之间同步用户，这将允许我为公司用户实施SSO。只有选定的OU可以同步，并且基于AD中的组，它们可以在我们的应用程序中分配不同的角色。然后，分配角色是已经在广告中管理这些用户的人的责任。如果此人被释放，并且他们的帐户在广告中被删除/锁定，他们将无法访问我们的应用程序。如果他们从特定组中删除，他们将无法访问我们的应用程序。可能我们公司的所有用户都已经在Azure广告中了——当我使用我的工作电子邮件登录Azure门户时，我看到我自己和我的同事都在其中。当涉及到支持不在我们广告中的用户时，我测试过，我可以添加“来宾用户”。起初我以为这是我需要Azure广告B2C的东西，但看起来不是这样。那么Azure B2B和B2C的用途是什么？在这种情况下，我不需要管理SQL数据库，也不需要免费管理用户。在广告和Azure门户网站上。我不知道是否可以将自定义属性添加到用户（TenantId）

---

这些选项中哪一个更好？也许还有其他选择？

Azure AD B2B确实是满足您需求的方式

当您希望向外部用户开放应用程序，同时允许他们使用社交提供商登录时，需要B2C

你可以阅读更多关于这本书的内容