我今天在linkedIN上看了一篇帖子,说Azure B2B现在接受谷歌ID(例如拥有Gmail帐户的人)它说这是通过联盟实现的(使用谷歌作为身份提供者)
据我所知,你已经能够做了一段时间(或者因为它是在公开预览中),有人可以进入他们的gmail帐户,但在后台(在简单的登机过程完成后) gmail帐户链接到占位符Azure AD帐户(由GUID表示)。因此,在Azure AD的公告中现在接受谷歌ID,这是预览服务现在是主流的情况吗?或者这是新的东西?
我的主要问题如下
据我所知,联邦(如果我错了请纠正我),尽管您自己的身份提供者和您自己的STS(安全令牌服务,受到回复方信任)为您提供了一个令牌(签名SAML / JWT)然后呈现给答复方STS(然后根据您提供的令牌中的信息创建自己的令牌),您仍然需要在重播方系统中的对象实例(用户/组等)来检查所述实例是否是允许基于令牌访问资源(查看资源上的ACL和令牌中的信息)。因此,虽然回复方不需要维护用户密码来对其进行身份验证(由受信任的身份提供商完成),但仍需要在中继方系统上创建/存在对象的实例(以匹配令牌信息,例如组成员身份)例如)尝试访问的实际对象上的ACL是上面的正确吗?
非常感谢
始终在Azure AD中创建用户,因为在这种情况下也是如此。这适用于在Azure AD中创建的用户,从本地AD同步,邀请其他AAD租户,个人MS帐户以及现在的Gmail帐户。
在Google B2B之前,如果您邀请了Gmail用户,则会在后台为他们创建个人Microsoft帐户,然后将其作为访客添加到AAD租户中。
现在,如果您启用Google B2B,当您邀请Gmail用户时,他们将登录Google登录页面而不是AAD登录页面。因此,现在不是无形地创建MS帐户,而是将Google帐户本身添加为访客用户,并且AAD依靠Google对用户进行身份验证。