Azure Active Directory (B2E) 与 Azure Active Directory B2C - 现有信息不明确且难以理解

Question

尊敬的 Microsoft Azure AD 人员(以及一直走这条路的其他人)

我们正在构建一个用户界面，作为 Azure 后端架构的前端，主要由 Azure SQL 数据库、VM 集群、Azure 搜索索引和 SFC 组成。

登录此 UI 的用户将包括内部用户(公司员工)和外部用户(我们的客户)。内部用户将登录以执行我们为客户提供的服务的各种功能。我们的客户将登录以对我们数据库的某些表执行搜索查询。

我们迷失的地方在于尝试根据权限和策略来规划和执行我们的身份管理架构。

对于我们的内部用户，我们将需要定义几个不同的权限配置文件 - 例如，用户 1 应该能够访问和写入有关客户端 1 的信息，但不能访问和写入有关客户端 2 的信息。用户 2 应该能够访问和写入有关客户端 2 和客户端 3 的信息，但不能访问和写入有关客户端 1 的信息。这只是一个简单的示例。

对于我们的客户，到目前为止，我们已经设置了一个 B2C 租户，允许他们使用电子邮件地址注册访问。虽然这部分简单明了，但 B2C 功能似乎相当有限，因为只有注册/登录、密码重置和个人资料编辑的策略。我们最终还需要向客户提供不同级别的访问权限。

这是我的问题:

1. 对于我们的内部用户，我们应该使用我们的域 Azure AD (B2E)，还是应该为他们使用 B2C，以便所有用户都在 B2C 架构下？

2. 我提到的这些不同类型的权限是在 Active Directory 设置中定义和设置的，还是编码到应用程序中的？

3. 考虑到我们需要为客户端中的不同用户提供不同的权限结构，我们是否应该使用 B2C？我们是否也应该为我们的客户使用 B2E，即使他们是客户而不是我们域中的内部用户？

自上周末以来，我一直在阅读 Azure 文档并观看视频，但我仍然无法确定什么最适合我们想要实现的目标。

Answer 1

我绝不是 Azure AD(最通用的企业/域、B2C 或 B2B)方面的专家，但根据我的阅读和实验:

1) 您可以通过AAD B2C汇集所有用户，使用AAD B2C自定义策略允许企业/域AAD用户连接到您的AAD B2C目录；这意味着您的应用程序只需与单个目录(AAD B2C)集成；

2) AAD 风格都不是真正设计用于进行细粒度权限/授权的；您可能需要在自己的代码中或使用其他一些功能/服务来处理此问题。

马丁