SAAS REST API身份验证中的多租户

Question

我目前正在开发一个以B2B SAAS方式商业化的应用程序接口。目标是对公司的员工进行身份验证。我们有一个SDK应该能够做到这一点。有可能强制每个用户为我们的服务设置特定的凭据，但这将损害与公司应用程序的集成。

我们的想法是拥有某种类型的身份验证(独立于客户端)，以便更容易地对用户进行身份验证。

问题是:对于这种类型的任务，有一种简单的方法可以创建一个不依赖于客户端类型的身份验证方法的自动流程吗？

提前谢谢。

Answer 1

你看过Azure AD吗？它专门支持多租户场景。

租户可以使用Azure AD Connect将其本地目录同步到云。客户端可以使用ADAL获取您的服务信任的令牌。发出的令牌包含指示用户通过哪个租户登录的tenant-id声明。

Answer 2

只需添加到MvdD answer，在Azure AD中支持三种登录方式：

联合单点登录允许应用程序重定向到Azure AD进行用户身份验证，而不是提示输入自己的密码。这对于支持SAML2.0、WS-Federation或OpenID连接等协议的应用程序是受支持的，并且是最丰富的单点登录模式。

基于密码的单点登录可使用web浏览器扩展或移动应用程序实现安全的应用程序密码存储和重播。这利用了应用程序提供的现有登录过程，但使管理员能够管理密码，并且不要求用户知道密码。

现有单一登录使Azure AD能够利用已为应用程序设置的任何现有单一登录，但允许这些应用程序链接到Office365或Azure AD访问面板门户，并在应用程序在那里启动时在Azure AD中启用其他报告。