我正在爲我的公司嘗試Azure AD B2B功能。我試圖通過門戶邀請外部用戶並使用https://graph.microsoft.com/beta/invitations。在這兩種情況下,都會成功邀請用戶並添加到我們的目錄中登錄用於社交帳戶(然後使用Microsoft帳戶)。如果它是一個非社交帳戶(又名contoso.com),它沒有以前的Azure AD,那麼當我們的應用程序嘗試登錄用戶時,我會得到一個access_denied。如果我試圖強制許可流程,我得到以下信息:來自非託管Azure AD目錄的用戶是否可以登錄位於不同目錄中的Azure AD多租戶應用程序?
AADSTS65005:目前不支持您 公司aaa.no.應用ZZZ您的公司目前處於非託管狀態,並且 需要管理員通過DNS 驗證aaa.no才能配置應用程序zzz之前聲明公司的所有權。
我們有許多小公司作爲客戶,他們都必須在用戶使用我們的應用程序之前管理Azure AD目錄,這似乎是不合理的。它應該根據Microsoft得天衣無縫:
無痕:誰需要訪問公司的應用 不需要有Azure的AD的合作伙伴公司。 Azure AD B2B協作提供簡單的用戶註冊體驗,爲這些合作伙伴提供即時訪問您的應用程序的 。
如果他們可以註冊並創建他們的用戶和目錄,他們爲什麼不能讓他們被邀請同意登錄的應用程序(登錄並閱讀用戶配置文件委託權限是必需的應用程序)?
我們已經允許擁有自己託管的Azure AD的公司在我們的應用程序中使用他們的用戶。我們讓全球管理員允許管理員同意我們的應用程序,以便他們可以登錄用戶並閱讀目錄數據。這些用戶不會被添加到我們的目錄中,並且完美地工作。另外,如果我以受邀用戶身份前往新門戶網站,則可以看到域aaa.no已通過驗證,但我無法將其設置爲主要網站。
我嘗試過的其他事情沒有工作:升級到最新的ADAL版本,試圖在https://apps.dev.microsoft.com中創建應用程序並使用它,試圖在舊的天藍色門戶中設置權限(似乎是新門戶中的權限錯誤沒有出現在清單中)並試圖使申請單一租戶。什麼都沒有
有趣的是,這聽起來像是正確的答案,但我會等到標記答案,直到我從Azure支持獲得答案(已向他們提出問題)。我們確實使用通用端點,並且我們需要支持來賓用戶和使用他們自己的租戶的用戶。我會嘗試改變租戶發現,看看是否有效。我看到你在微軟工作。你知道公共終端是否將在未來支持客人? –
再次感謝您的回答。我在下面添加了另一個答案,以及我從Azure支持獲得的最終響應,並簡要描述了我使用的解決方法 –
我試圖採取這種方法,並且遇到了可能是Azure系統上的一個錯誤(請參閱http://stackoverflow.com /問題/ 43377553/openidconnect誤差租戶的標識符-MAY-不待一個空性全局唯一標識符/ 43377804)。但也許我只是做錯了什麼。 @薩卡你有沒有一個樣本來描述你過去如何做到這一點? –