Я настроил проверку подлинности для моего приложения, используя/OAuth 2 потока Azure Rest API, следуя инструкциям, изложенным здесь:Провайдеры Ограничение Azure Идентичность
https://ahmetalpbalkan.com/blog/azure-rest-api-with-oauth2/
Я создал ActiveDirectory приложение в Azure, которая связанный с экземпляром ActiveDirectory.
Внутри моего приложения я настроил его, чтобы отправить к следующему Azure OAuth конечной точки:
https://login.windows.net/<<MY-AD-TENANT-ID>>/oauth2/authorize?client_id=<<GUID>>&response_type=code
Это все работает отлично. Я могу проверить подлинность против моей ActiveDirectory с помощью электронной почты вида
[email protected]<myDomain>.com
Однако я понял, что я могу также проверку подлинности с помощью любого действительного майкрософт адреса электронной почты, который, очевидно, означает, что кто-нибудь с действительным майкрософт электронной почты может получить маркер доступа для моего приложения, например
[email protected]
Может ли кто-нибудь сказать мне, как я могу ограничить аутентификацию, чтобы разрешить пользователям, которые находятся в моем активном каталоге? Пользователи с электронными письмами формы
[email protected]<myDomain>.com
Я просмотрел документацию, но до сих пор не повезло.
Привет благодарю за ответ. У меня есть несколько вопросов: 1) Я использую Scala для написания всего этого, и я не использовал ранее существовавшую библиотеку для OAuth, я только что внедрил все это, так что вы могли бы рассказать мне, фрагмент кода? (Является ли это C#?) 2) Я, пожалуй, наивно полагал, что мне не нужно будет проверять токен, который я получаю от Azure, но могу ли я предположить из вашего ответа, что нет способа удалить адрес электронной почты microsoft/hotmail из действительных поставщиков удостоверений по конфигурации в Azure, и что я должен сделать проверку себя в своем коде? – bobbyr
1. это C# и из библиотеки OWIN/Katana. 2. Да, вам нужно будет проверить его на стороне сервера, чтобы убедиться, что это легальный токен. – Aram