So schränken Sie Mandanten in mandantenfähigen Anwendungen mit Azure AD-Authentifizierung ein

Question

Ich entwickle derzeit eine mandantenfähige Angular SPA-Anwendung, die mit mehreren WebAPIs im Back-End verbunden ist und die AzureAD-Authentifizierung verwendet, bei der jeder AD einen Mandanten darstellt.

Die Azure-Dokumentation zu Multitenancy verweist auf eine Beispielanwendung namens Tailpsin.Surveys, die ich ausführen konnte, nachdem ich die Schritte auf der Seite ausgeführt hatte. Diese Anwendung unterscheidet sich von meinem Szenario, da es eine WebApp kein SPA ist.

In dieser WebApp wird während der Middleware-Einrichtung von OpenId eine Implementierung von OpenIdConnectEvents übergeben. Diese Implementierung setzt die Methode TokenValidated außer Kraft und blockiert Mandanten, die zuvor keine Anmeldung durchgeführt haben.

Das ist, was ich versuche, in meiner Anwendung zu erreichen, aber würde das bedeuten, dass jede WebAPI immer auf Aussteller Anspruch auf Token überprüfen sollte, um den Mieter zu validieren?

Das scheint etwas Wiederholendes zu sein und könnte zu einem Leistungsproblem werden, glaube ich.

Gibt es eine Azure-Konfiguration oder andere Möglichkeiten, den Zugriff auf Ihre Anwendung auf bestimmte Mandanten zu beschränken?

Answer 1

Soweit ich weiß, gibt es in Azure Active Directory keine solche Einstellung. Die Optionen rund um das Mietverhältnis sind Multi-Tenant oder Single-Tenant. Multi-Tenant bedeutet, dass technisch alle Mieter ein Zugriffs-Token für Ihren Service erhalten können.

Für Ihr spezifisches Szenario, ich glaube, dass Sie möchten, dass Ihr Dienst eine Whitelist von Mandanten, die Ihre API aufrufen dürfen, und überprüfen Sie, ob das Token die richtige issuer oder tid Anspruch hat. Sie erwähnen, dass diese Überprüfung möglicherweise ein Leistungsproblem darstellt. Sie überprüfen jedoch bereits jedes Token, dass der Anspruch aud korrekt ist und dass das Token von Azure AD signiert wurde und die Ansprüche im Token auf Berechtigungen geprüft werden. Die Überprüfung eines zusätzlichen Anspruchs sollte daher nicht wirklich zu einem erheblichen Mehraufwand führen.