Предлагайте клиентский опыт входа в многопользовательское приложение SaaS

Изучение вариантов IAM перед решением White Label SaaS. Короче говоря, мои клиенты вешали кнопку «Подать заявку сейчас» на свой веб-ресурс, который ссылался бы на мой собственный поддомен, например, https://.mydomain.com, когда пользователь попадает туда, я хочу узнать, какой из моих клиентов был ссылающимся доменом, и я хочу показать их логотип на странице и название компании. Некоторые требования:

  1. Я надеюсь использовать одно развертывание, потому что объемы трафика не очень велики, поэтому стараюсь избегать сложной стратегии развертывания.
  2. Я ориентируюсь на конкретную отрасль, и клиенты регулярно совершают покупки у разных поставщиков, поэтому в идеале их учетная запись создается в центральном каталоге и может передаваться другим арендаторам. Например, клиент посещает Tenant1 и щелкает, чтобы создать учетную запись. Я хочу запросить у них адрес электронной почты, а затем проверить, есть ли у них учетная запись. В этом сценарии они еще этого не сделали, поэтому завершают процесс SignUpSignIn для локальной учетной записи. Попав в систему, они готовят свой запрос и отправляют его. Позже в тот же день они переходят в Tenant2 и нажимают «Применить сейчас». Я хочу определить, что они пришли от Tenant2 и теперь показывают логотип Tenant2 и название компании, и снова запрашиваю электронное письмо. Когда они вводят его, я хочу указать, что у них уже есть учетная запись в системе, и позволить им войти в систему, где они увидят свой существующий запрос и теперь смогут отправить его другому возможному поставщику.
  3. Мои клиенты приходят из Интернета, но мои клиенты, вероятно, являются корпорациями со своими собственными существующими каталогами, поэтому я должен иметь возможность предложить им вариант подключения OIDC для доступа к их репозиторию с отправленными запросами. Я читал о Home Realm Discovery и думаю, что это может быть способом решить эту проблему, но для многих клиентов это выглядит довольно сложно.

Я просмотрел Azure AD B2C и не смог найти надежного эталонного приложения, которое показывает, как я могу этого добиться. Я начинаю думать, что мне, возможно, придется создать отдельную настраиваемую политику для каждого арендатора, а затем передать domain_hint, чтобы выбрать правильный пользовательский опыт во внешнем интерфейсе, это правильный путь? Возможно ли это вообще как одно развертывание?

Заранее спасибо!


azure-ad-b2c azure-ad-b2c-custom-policy
person K. Kasias    schedule 07.02.2021    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Все, что вам нужно, это динамическая настройка страницы, одна политика.

https://docs.microsoft.com/en-us/azure/active-directory-b2c/customize-ui-with-html?pivots=b2c-custom-policy#configure-dynamic-custom-page-content-uri

Вероятно, вам нужен HRD, что может свести на нет необходимость в donain_hint. Зависит от того, что вы предпочитаете/нужно. Может даже иметь оба в одной политике в зависимости от того, передается ли domain_hint.

“ Позднее в тот же день они заходят в Tenant2 и нажимают «Подать заявку». Я хочу определить, что они пришли от Tenant2 и теперь показывают логотип Tenant2 и название компании, и снова запрашиваю электронное письмо. Когда они вводят его, я хочу указать, что у них уже есть учетная запись в системе, и позволить им войти в систему, где они увидят свой существующий запрос и теперь смогут отправить его другому возможному поставщику». -› заслуживает отдельного вопроса.

person Jas Suri - MSFT    schedule 08.02.2021