我应该为企业 B2B 解决方案创建多少个 Azure AD 目录?
How many Azure AD Directories should I create for an Enterprise B2B Solution?
我需要构建一个解决方案,利用 Azure B2B 协作让来自不同组织的客户使用我的系统。
每个客户可能有 100 或 1000 个用户,其中一些可能有 Azure AD,而另一些则没有。
该应用程序将有不同的用户 roles/groups 结构来控制对我的 API 的访问。
这个设计最好的方法是什么,能否提供参考?
选项 1:为每个客户创建单独的 Azure AD
每个客户都有自己的 Azure AD,我可以使用 Azure Groups 来控制访问。
- 每个订阅的 Azure AD 限制是多少? (找不到一个
MS 文档中的明确答案)https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-service-limits-restrictions
- 这是一个很好的 "Azure" 做法吗?你能提供参考资料吗?
- 有关 structuring/organizing 的任何信息,以便于维护。
- 我需要注意任何并发症吗?
选项 2:为所有 customers/users
创建一个 Azure AD
所有客户的所有用户都将添加到单个 Azure AD,并且为了用户隔离,每个客户的用户都属于一个单独的 Azure 安全组。
- 在这种情况下,我可能需要在本地数据库中维护每个客户组,因为他们可能有不同的组。
- 将所有客户的用户都放在同一目录中有任何顾虑吗?
选项 3:???
我认为单租户更好。为每个客户创建一个租户会使管理变得更加困难(登录也变得更难实现)。每个订阅的 Azure AD 限制可能不存在,因为目录在层次结构中高于订阅。是的,您可以为每个客户设置一个组,并将该组的 ID 保存在您的数据库中。
用户将作为来宾添加到您的目录中,请确保在外部协作设置中启用设置来宾用户权限受限。
这将使他们根本无法访问您租户中的用户或组列表。
我需要构建一个解决方案,利用 Azure B2B 协作让来自不同组织的客户使用我的系统。
每个客户可能有 100 或 1000 个用户,其中一些可能有 Azure AD,而另一些则没有。
该应用程序将有不同的用户 roles/groups 结构来控制对我的 API 的访问。
这个设计最好的方法是什么,能否提供参考?
选项 1:为每个客户创建单独的 Azure AD
每个客户都有自己的 Azure AD,我可以使用 Azure Groups 来控制访问。
- 每个订阅的 Azure AD 限制是多少? (找不到一个 MS 文档中的明确答案)https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-service-limits-restrictions
- 这是一个很好的 "Azure" 做法吗?你能提供参考资料吗?
- 有关 structuring/organizing 的任何信息,以便于维护。
- 我需要注意任何并发症吗?
选项 2:为所有 customers/users
创建一个 Azure AD所有客户的所有用户都将添加到单个 Azure AD,并且为了用户隔离,每个客户的用户都属于一个单独的 Azure 安全组。
- 在这种情况下,我可能需要在本地数据库中维护每个客户组,因为他们可能有不同的组。
- 将所有客户的用户都放在同一目录中有任何顾虑吗?
选项 3:???
我认为单租户更好。为每个客户创建一个租户会使管理变得更加困难(登录也变得更难实现)。每个订阅的 Azure AD 限制可能不存在,因为目录在层次结构中高于订阅。是的,您可以为每个客户设置一个组,并将该组的 ID 保存在您的数据库中。
用户将作为来宾添加到您的目录中,请确保在外部协作设置中启用设置来宾用户权限受限。 这将使他们根本无法访问您租户中的用户或组列表。