问通过自定义登录访问Microsoft

EN

我有一个标准的示例，它执行以下操作：

AuthenticationContext authContext = new AuthenticationContext(SettingsHelper.AzureADAuthority);            
string redirectUri = Url.Action("EmployeeAuthorize", "Account", null, Request.Url.Scheme);
Uri authUri = authContext.GetAuthorizationRequestURL(SettingsHelper.O365UnifiedResource, SettingsHelper.ClientId, new Uri(redirectUri), UserIdentifier.AnyUser, null);
return Redirect(authUri.ToString());

这带来了微软登录页面，我已经定制了尽可能多，并通过Azure AD和我可以访问统一的图形API，无论是Azure AD或SharePoint，一个驱动器的业务等.

问题是，管理人员根本不喜欢登录体验，尽管他们喜欢通过统一的图形api访问office365，我在问如何使用以下条件创建自定义体验：

1. 没有租户要求登录名可以是foo@azure_AD_tenant.com、foo@gmail.com或foo@outlook.com。目前Azure AD需要一个租户名或"live“订阅，而且我不能限制登录名，因为我们希望客户端甚至是临时来宾通过角色共享文件访问我们的一些内容。
2. 能力为登录帐户创建角色，可以是任何我们想要的，如管理，高级客户，客人等.
3. 访问统一的图形api...like办公室365个共享文件或唠叨交谈，群组等.
4. 登录用户界面必须是100%可定制的-即。没有重定向到微软的登录页面体验，而是我们自己的体验。据了解，这可能意味着我们自己保留密码并添加多个身份验证。

基本上100%的自定义登录体验和令牌访问图形API。

一个可能的解决办法是：

场景: 1.用户只通过用户界面(foo@outlook.com / mypassword)创建一个帐户，我们将其保存在数据库\服务结构中。这使我们能够创造自己的角色。2.在创建帐户时，我们为foo_outlook@tenant.com创建一个azure帐户(api\powershell)。这可以满足Azure AD租户在登录名中的要求。3.当用户再次登录时，我们使用foo_outlook@tenant.com\mypassword访问Azure AD。但是这需要一个用于图形API的API，在那里我可以使用用户名和密码来获取令牌，而我不确定它是否存在？

我也需要第三方身份，但该功能还没有提供。

但是，我至少可以创建自己100%的个人登录体验，并获得访问图形API的令牌吗？

谢谢罗伯