Изучение вариантов IAM перед решением White Label SaaS. Короче говоря, мои клиенты вешали кнопку «Подать заявку сейчас» на свой веб-ресурс, который ссылался бы на мой собственный поддомен, например, https://.mydomain.com, когда пользователь попадает туда, я хочу узнать, какой из моих клиентов был ссылающимся доменом, и я хочу показать их логотип на странице и название компании. Некоторые требования:
- Я надеюсь использовать одно развертывание, потому что объемы трафика не очень велики, поэтому стараюсь избегать сложной стратегии развертывания.
- Я ориентируюсь на конкретную отрасль, и клиенты регулярно совершают покупки у разных поставщиков, поэтому в идеале их учетная запись создается в центральном каталоге и может передаваться другим арендаторам. Например, клиент посещает Tenant1 и щелкает, чтобы создать учетную запись. Я хочу запросить у них адрес электронной почты, а затем проверить, есть ли у них учетная запись. В этом сценарии они еще этого не сделали, поэтому завершают процесс SignUpSignIn для локальной учетной записи. Попав в систему, они готовят свой запрос и отправляют его. Позже в тот же день они переходят в Tenant2 и нажимают «Применить сейчас». Я хочу определить, что они пришли от Tenant2 и теперь показывают логотип Tenant2 и название компании, и снова запрашиваю электронное письмо. Когда они вводят его, я хочу указать, что у них уже есть учетная запись в системе, и позволить им войти в систему, где они увидят свой существующий запрос и теперь смогут отправить его другому возможному поставщику.
- Мои клиенты приходят из Интернета, но мои клиенты, вероятно, являются корпорациями со своими собственными существующими каталогами, поэтому я должен иметь возможность предложить им вариант подключения OIDC для доступа к их репозиторию с отправленными запросами. Я читал о Home Realm Discovery и думаю, что это может быть способом решить эту проблему, но для многих клиентов это выглядит довольно сложно.
Я просмотрел Azure AD B2C и не смог найти надежного эталонного приложения, которое показывает, как я могу этого добиться. Я начинаю думать, что мне, возможно, придется создать отдельную настраиваемую политику для каждого арендатора, а затем передать domain_hint, чтобы выбрать правильный пользовательский опыт во внешнем интерфейсе, это правильный путь? Возможно ли это вообще как одно развертывание?
Заранее спасибо!