Блог

Сценарий

У нас есть приложение, которое будет использоваться школами. В каждой школе есть экземпляр Azure AD, содержащий пользователей из их персонала и учащихся. Эти пользователи имеют доступ к Office / Teams и т. Д. Через свои школьные лицензии. Нам также необходимо поддерживать родителей, имеющих учетные записи и выполняющих вход в систему.

Для родительских учетных записей нам нужно будет использовать что-то вроде B2C, чтобы позволить им создавать «локальные учетные записи» или регистрироваться в своих собственных учетных записях Microsoft / Google / Facebook.

Для учетных записей учащихся и сотрудников мы хотели бы разрешить им входить в систему с помощью своих учетных записей AAD.

Насколько я понимаю, это можно включить с помощью AADB2C, добавив AAD в качестве поставщика удостоверений в конфигурации B2C. B2C также поддерживает «сквозную передачу IDP», которая позволяет получить access_token используемого стороннего IDP.

Мой вопрос в том, можно ли использовать эту функциональность (или вообще AADB2C) для получения токена доступа, который позволил бы вам получить доступ к API MSGraph для подписанных пользователей (для какой бы школы он ни относился)?

Если нет, будет ли это означать необходимость настройки каталога B2C для родительских учетных записей и управления ими полностью отдельно от учетных записей AAD, которыми школа управляет для учащихся и сотрудников?

Я много читал и, честно говоря, чем больше я читаю, тем больше запутываюсь xD

Полностью могу это сделать, вот пример: https://github.com/azure-ad-b2c/samples/tree/master/policies/B2C-Token-Includes-AzureAD-BearerToken