我有两个Azure Active Directories - AAD1& AAD2 - 都在同一帐户下。我已经向AAD2添加了一个Web应用程序,因此访问该Web应用程序的任何人都将被重定向到单个登录页面。来自AAD2的用户 - aad2user@aad2.onmicrosoft.com能够使用他的凭据登录到Web应用程序。我现在希望AAD1的用户访问同一个Web应用程序。所以,我将该用户添加到AAD2(作为全局管理员)。 azure portal活动目录页面现在显示AAD2的用户列表,其中包括我添加的最新用户(AAD1)。尽管如此,当我尝试使用AAD1用户的凭据登录时,我遇到一个错误 - “帐户xxx @ aad1未配置为登录此公司”。我是否还需要执行其他操作才能允许从一个Azure AD访问另一个Azure AD应用程序?
答案 0 :(得分:2)
我只是想通了。诀窍是使有问题的Web应用程序成为多租户应用程序。可以在Windows Azure门户中的Active Directory扩展 - >应用程序的配置选项卡中执行此操作。创建多租户Web应用程序的详细过程here。不幸的是,有一个已被弃用并且可以使用直接代码示例here。这是一个示例多租户Web应用程序,它使用OpenId Connect从任何Azure Active Directory租户注册和登录用户。我试了一下,按照说明操作,就像一个魅力。
考虑到Web应用程序的clientid和目标租户的用户的同意,代码实质上使用OAuth2来提供在不同租户中提供Web应用程序的请求。总而言之 - 我的Web应用程序驻留在AAD2中。示例中的代码帮助我以编程方式将Web应用程序配置为AAD1中租户中的应用程序。因此,使用AAD1的用户可以通过同意执行相同的操作来直接访问Web应用程序。不仅如此,代码还帮助我启用对任何其他windows azure活动目录的用户的访问权限,这不是我订阅登录Web应用程序的一部分。辉煌!