处理 AzureAD 的不同身份验证流程 - 内部帐户与外部帐户 AzureAD B2C

我正在研究一种在给定一个 azureAD 租户的情况下构建两个身份验证流程的方法。

内部用户： 具有客户端（或客户端关联）电子邮件域的 AzureAD 用户。他们的 SSO 加入已通过 EntraID 完全管理。

外部用户： 具有任何其他电子邮件域的 AzureAD 用户。不会只有几个，而是几千个。

这个想法是应用程序中会有一个页面会询问用户是员工还是客户（内部还是外部）。

从应用角度的要求如下：

• 内部用户沿着现有租户中已设置的预定义路线进行操作
• 外部用户拥有带有托管身份验证页面的自定义身份验证流程
• 对于两组用户，都应该有用户类型层次结构的前提（基于权限）
• 外部管理员应该能够通过应用程序添加/删除自己的用户（这是应用程序自助服务性质的重要组成部分）

来自 AWS Cognito 的背景，我对 AzureAD 相当陌生，并且希望能得到一些指导，因为这个入门工具有 10 个：

问题：

• AzureAD B2C 是否可以利用并且其 IDP 是主租户的 IDP？
• 这些外部用户是否应该完全由另一个租户使用？
• 内部和外部用户的认证流程可以合并吗？