我有一个外部应用程序想要通过使用 OIDC 与 Azure AD 集成来实现用户的单点登录,以便用户可以使用其公司 Microsoft 帐户登录到此外部 Web 应用程序。
我的问题是:是否可以设置每个用户策略以允许 OIDC 登录,以便只有一小部分用户可以使用其 AD 帐户登录外部应用程序?例如仅让特定 AD 组中的用户授权此外部应用程序?
示例:
[电子邮件受保护]- 和 [电子邮件受保护] 都是 EXT_APP_GROUP 的成员。
使用 OpenID Connect 授权代码流的外部应用程序调用 OIDC 连接 URL 来授权用户。
[电子邮件受保护]- 尝试登录外部应用程序,但由于该用户不是 AD 中 EXT_APP_GROUP 组的成员,因此使用 OIDC 调用 AzureAD 来授权该用户失败。
[电子邮件受保护]- 和 [电子邮件受保护] 能够使用 OIDC 登录外部应用程序。
这可能吗?