問題タブ [azure-ad-b2b]

私たちは Azure AD B2B をいくつかの特注アプリケーション (カスタマー ポータルなど) に使用しており、他のディレクトリからの数百人のゲスト ユーザーがいます。そのほとんどは、IT を外部委託している中小企業の非技術スタッフです。一般的にはうまく機能しますが、同様のことについて混乱している顧客から定期的に質問を受け、FAQ を提供したいと考えています。私は次のような問題について言及しています：

• SSO に慣れておらず、自分の O365 / Microsoft アカウントをそのまま使用できることに気付いていないため、どのログイン情報を使用すればよいかわからない
• アプリケーションがアカウントへのアクセス許可を求めたときに驚いた/疑わしい
• パスワードを記憶するように Outlook などを設定しましたが、何年も使用する必要がなく、それが何であるかもわかりません。また、アカウントが自分のディレクトリにあるため、パスワードをリセットできません。

上記の特定の問題について助けを求めるのではなく、私の質問は、AAD サインイン プロセス中にある種の FAQ ページに簡単にアクセスできるようにする最善の方法についてです。問題は、プロセスを開始すると (これは彼らが苦労している部分です)、認証が成功した場合にのみアプリケーションにリダイレクトされ、Microsoft は UI をあまり制御できないことです。

完璧な解決策は、すべての AAD サインイン ページに FAQ またはヘルプ リンクを配置することですが、自社ブランドのサインイン ページでさえ、これを行う方法がわかりません。関連するオプションは「サインイン ページのテキスト」だけですが、これでは十分ではありません。

この種の問題を抱えている技術者以外のユーザーを支援するためのベストプラクティスの方法は何ですか? たとえば、ログインの失敗後にヘルプ ページにリダイレクトするように AAD に指示できますか?

Azure AD B2B 内で、"User" と "Application" の appRole を使用してアプリケーション登録 (リソース) を作成しました。

この appRole に servicePrincipal (クライアント) を割り当てると、accessToken に appRole が含まれます。

servicePrincipal(client) <-> appRoleAssignment <-> servicePrincipal(resource)

これは期待どおりに機能します

serviceprincipal (クライアント) を最上位のセキュリティ グループに割り当て、そのセキュリティ グループを appRole に割り当てると、accessToken に appRole が含まれません。

servicePrincipal(client) <-> security group <-> appRoleAssignment <-> servicePrincipal(resource)

この間接化はユーザーに対して機能しますが、これがサービスプリンシパルに対して機能しないのはなぜですか?

.netcore MVC app+reactjs (請求アプリ) の認証と承認を行うことができます。このアプリケーションは IIS でホストされ、.netcore Webapi (チャート アプリ) をホストする予定の同じサーバーでホストされます。

Billing Appを使用して、チャートを WebApis と呼びます。NOW WebApi は、フロントエンド アプリから送信されたトークンに基づいてユーザーを認証/承認する必要があります(Authe/Autho を実行するトークン ベースの WebAPI、別のログイン ポップアップはありません)。

1. 以下のリンクをリクエストすることで、 postman-see imgを使用してトークンを生成できます

   https://login.microsoftonline.com/ {{tenandId}}/oauth2/token

このトークンをヘッダーと共に Web-API に送信します。Web-API は、課金アプリと同じ Azure AD アプリの構成 (クライアント ID、スコープなど) を持ちます。API はトークンを検証し、チャート データを送信する必要があります。

2. 認証と承認を処理するように、reactjsでadal/msalを試して、WebApiをAuthorize属性で装飾する必要がありますか?

多くのリンクを取得しましたが、機能しないコードはほとんどなく、Azure で機能しなくなったプロセスもほとんどありません。また、巨大なコードを持っているものもほとんどなく、まさに私が探しているものではありません。

基本的に、認証の部分を行う .netcore で 1 つのアプリをホストします。今度は WebApi も同じユーザーの Cookie/トークンを使用して認証する必要があります。これは、別のログイン ポップアップを表示したくないためです。多くの MS サンプル コードを参照してください。

どちらのアプローチが正しい 1 または 2 であり、サンプル コード/リンクを共有していただければ幸いです。

Azure AD b2b では、アプリケーションを使用するようにユーザーを招待するときに、招待されたユーザーをグループに追加する可能性があります。私がここで見たものから: https://docs.microsoft.com/pl-pl/azure/active-directory/b2b/customize-invitation-api招待 API にはそのような可能性はありません。アプリケーションから招待状を送信し、プロセス中に招待されたユーザーを具体的なグループに追加するためにできることはありますか?