Discussion :

[M_Makia]

Bonjour à toutes et à tous,

Ma problématique est de mettre en place un système d'authentification basé sur azure sur une appli asp.net core.
L'authentification à l'application doit pouvoir se faire avec un utilisateur interne via Azure AD et des clients via Azure AD B2C.
Il y a pas mal de documentation sur Azure AD et Asure AD B2C mais toujours traité séparément.

Est-ce que quelqu'un a déjà eu se cas d'usage ?
Si oui pouvez vous me dire quel est la démarche a suivre pour mettre cette authentification.

Je vous remercie.

[DotNetMatt]

Il n'est pas possible de combiner simplement plusieurs types d'authentication, comme tu peux le lire dans la FAQ d'Azure AD B2C (voir la premiere question) :

Puis-je utiliser les fonctionnalités d’Azure AD B2C dans mon client Azure AD existant, basé sur les employés ?

Azure AD et Azure AD B2C sont deux offres de produits distinctes qui ne peuvent pas coexister dans le même locataire. Un locataire Azure AD représente une organisation. Un locataire Azure AD B2C représente une collection d’identités à utiliser avec des applications par partie de confiance. Avec les stratégies personnalisées (en préversion publique), Azure AD B2C peut fédérer avec Azure AD, ce qui permet l’authentification des employés dans une organisation.

Sur un precedent projet on avait comme besoin d'utiliser a la fois une base locale avec ASP.NET Identity et Azure AD. On a developpe un middleware custom. Bien entendu, tout ce qui rentre la-dedans n'est pas supporte par Microsoft et il faut savoir ce que l'on fait pour ne pas ouvrir des failles de securite... On avait fait appel a un expert en securite, et fait realiser un audit de securite a la livraison du middleware. Le projet nous a pris quasiment 1 an.

Une autre solution est d'isoler les authentifications : Azure AD = un site Web ; Azure AD B2C = un autre site Web. Une fois tes utilisateurs authentifies, tu valides et tu rediriges en interne vers un site Web commun.

[M_Makia]

Merci beaucoup pour ta réponse, je vois que tu es toujours là pour répondre aux questions un peu tricky, ça fait plaisir .
Si je comprends bien, c'est pas gagné !

Aurais tu des références ou ressources qui pourrais m'aidez a mettre en œuvre ta solution :

Une autre solution est d'isoler les authentifications : Azure AD = un site Web ; Azure AD B2C = un autre site Web. Une fois tes utilisateurs authentifies, tu valides et tu rediriges en interne vers un site Web commun.

[M_Makia]

Pour info j'ai trouvé ces ressources mais je n'ai pas encore le temps de tester.

https://rahulrai.in/post/hybrid-iden...-azure-ad-b2c/

https://github.com/dstrockis/AAD-B2C-Hybrid

[DotNetMatt]

Les liens que tu as trouve fonctionnent probablement mais ca va te mettre en-dehors du support de Microsoft. Ils sont tres clair sur ce sujet : une application ne peut utiliser qu'un seul mode d'authentification a la fois.

La solution que je t'ai propose avec plusieurs sites Web se compose de :
- 1 site Web A pour gerer l'authentification Azure AD
- 1 site Web B pour gerer l'authentification Azure AD B2C
- 1 site Web C principal (ton application)

Les sites Web A et B vont uniquement servir a authentifier. Il te faut peut-etre une page juste avant les formulaires d'authentification pour determiner si l'utilisateur souhaite utiliser l'un ou l'autre (ou tu peux rediriger automatiquement via l'IP par exemple : si IP externe, redirige vers B sinon vers A).

Si l'authentification est OK, tu peux rajouter quelque chose qui te permette de savoir que ton utilisateur a ete correctement authentifie (par ex. un cookie). Ton site Web principal C se chargera juste de verifier la presence du cookie son contenu, et si c'est OK il laissera l'utilisateur acceder aux differentes resources. Tu peux aussi passer par un entete HTTP avec une configuration adequate de ton routeur, ou autre...

Si ce n'est pas clair, n'hesite pas a me le faire savoir.

Ca rajoute un peu de complexite, mais c'est le prix a payer pour garder le support de Microsoft. A toi de voir quelle direction tu souhaites prendre sur ce projet.

[M_Makia]

Merci pour ta réponse.
J'ai très bien compris le principe, je te remercie.
Je vais regarder comment je peux mettre en place cette solution.

Autre chose, je n'ai pas trouvé l'info spécifiant que Microsoft assure le support seulement pour les apps avec un seule mode d'authentification, tu sais ou je peux trouver ca ?

[DotNetMatt]

Je ne sais plus ou j'avais lu ca, mais je vais essayer de retrouver...