Cách sử dụng Azure AD trong ứng dụng nhiều bên thuê SaaS

Tôi gặp sự cố về cách sử dụng Azure AD trong ngữ cảnh ứng dụng SaaS của mình. Tôi có cảm giác rằng nhiều bên thuê Azure AD là một thuật ngữ khác với nhiều bên thuê SaaS. Nếu tôi sai, thì tôi hy vọng ai đó sẽ chỉ ra cách giải thích sai của tôi.

SaaS multi-tenant (IMO) là gì: tách dữ liệu và người dùng trong một ứng dụng. Trong trường hợp của tôi, đó là một ứng dụng hoạt động cho nhiều công ty nhỏ. Ứng dụng lưu trữ dữ liệu trong một cơ sở dữ liệu và sử dụng lược đồ cho mỗi công ty/người thuê. Mỗi công ty có thể có nhiều người dùng - thường là 1 - 5 người dùng. SaaS là ​​một ứng dụng .NET Core, REST.

Là một khách hàng, tôi có một ứng dụng máy tính để bàn. Tôi có thể triển khai xử lý JWT, nhưng các phương pháp hay đề xuất sử dụng các giải pháp hiện có, như Azure AD. Vì vậy, tôi đã tìm hiểu về nó trên Google, nhưng đối với nhiều đối tượng thuê Azure AD, tôi thấy Azure AD B2B, nhưng sau khi đọc kỹ, tôi không nghĩ rằng đó là một lựa chọn dành cho mình, vì khách hàng (công ty) của tôi thường sẽ không có tùy chọn của riêng họ QUẢNG CÁO Azure.

Câu hỏi của tôi là - cách sử dụng Azure AD? Tôi có cảm giác rằng:

• Tôi chỉ nên có một người thuê/thư mục, đó là thư mục của riêng tôi.
• SaaS của tôi nên thêm người dùng vào thư mục.
• Làm cách nào để đánh dấu trong thư mục của tôi rằng vài người dùng 1 - 5 thuộc cùng một đối tượng thuê SaaS?

Chủ đề Azure AD là chủ đề mới đối với tôi, tôi sẽ đánh giá cao các gợi ý và mẹo giúp tôi tiến gần đến việc triển khai môi trường xác thực trong ứng dụng của mình.

Tôi nghĩ rằng bạn đang quá phức tạp nó.

Nếu bạn muốn triển khai ứng dụng một lần trong đối tượng thuê của mình nhưng bạn có thể kiểm soát tất cả những người có thể truy cập ứng dụng (bao gồm cả tài khoản khách) và quản lý tất cả các quyền, thì hãy sử dụng Ứng dụng một bên thuê: https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-register-app

Nếu bạn muốn triển khai ứng dụng một lần trong đối tượng thuê của mình và để ứng dụng đó xuất hiện ở các đối tượng thuê khác nhau, trong đó mỗi quản trị viên đối tượng thuê chịu trách nhiệm quản lý quyền truy cập và quyền của người dùng đối với ứng dụng của riêng họ, thì hãy sử dụng ứng dụng Nhiều đối tượng thuê: https://docs.microsoft.com/en-us/azure/active-directory/develop/howto-convert-app-to-be-multi-tenant

Bạn sẽ thấy quy trình đăng ký cả hai ứng dụng về cơ bản là giống nhau, bạn chỉ cần áp dụng một số điều chỉnh để cho phép các ứng dụng nhiều bên thuê hoạt động chính xác.

Đọc thêm về các ứng dụng nhiều người thuê: https://docs.microsoft.com/en-us/azure/active-directory/develop/single-and-multi-tenant-apps

Đây là một ứng dụng mẫu nếu bạn muốn thử: https://github.com/Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2/blob/master/2-WebApp-graph-user/2-3-Multi-Tenant/README.md

Ý tưởng về các ứng dụng nhiều/một đối tượng thuê hơi mờ nhạt khi bạn mời các tài khoản khách từ đối tượng thuê khác đến đối tượng thuê của bạn để truy cập ứng dụng: https://docs.microsoft.com/en-us/azure/active-directory/external-identities/what-is-b2b

Hãy nhớ cách tốt nhất để nghĩ về điều này là: ai sẽ duy trì quyền truy cập sử dụng và quyền của họ? trả lời điều đó sẽ giúp bạn dễ dàng xác định loại đăng ký nào sẽ có. Hy vọng điều này giúp đỡ.