用配置取代 XML 工程
登录体验、MFA、Passkeys 和企业 SSO 都可以在 Logto Console 中或通过 Management API 完成配置。品牌定制、自定义 JWT 声明和 webhooks 覆盖了团队过去只能在策略 XML 中手工搭建的场景。改动只需一次开关切换或一次 API 调用,而不是上传一份策略再开一个 Application Insights 会话。
Azure AD B2C 曾赢得了它的一席之地:慷慨的免费套餐、Azure 的合规保护伞,以及 99.99% 的 SLA。但 Microsoft 已经对新客户关闭了它,如今将 CIAM 项目引向 Microsoft Entra External ID,这个新一代平台并不运行团队多年搭建的自定义策略。当我们与正在迁出 B2C 的团队交流时,问题很少出在某一个 bug 上,而在于:产品持续成长,平台却已停滞不前。
| 动机 | 实际情况是怎样的 |
|---|---|
| 一款正在退场的产品 | 自 2025 年 5 月 1 日起,Azure AD B2C 不再向新客户开放,Premium P2 层级也已于 2026 年 3 月 15 日停止提供。Microsoft 承诺将支持现有租户“至少到 2030 年 5 月”。这留出了规划的时间,但你在 B2C 上构建的每一项新功能,都会让你在一个连 Microsoft 自己都已翻篇的平台上投入更深。 |
| 升级路径并非无缝替换 | Entra External ID 完全放弃了 XML 自定义策略,通过自定义策略配置的身份提供商也无法在直接迁移中得到支持。迁移到那里意味着一个全新的租户、针对 Graph API 自行编写的用户迁移脚本,以及逐个应用的切换。如果这就是默认升级的代价,那么放眼评估整个市场才更合理。 |
| 自定义策略是一条死胡同 | B2C 的高级场景都依赖 Identity Experience Framework:多个 XML 文件在继承链中相互引用,无法本地调试,只能通过 Application Insights 日志排查问题。Microsoft 自己的常见问题解答也承认,客户觉得自定义策略“太难构建和管理”。而这套专业知识无法迁移到任何其他地方。 |
| 企业 SSO 意味着手动编辑 XML | 在 B2C 中,联合 SAML 身份提供商只能通过自定义策略实现。每接入 一个企业客户,都意味着手写 claims-provider XML、上传证书,以及手动交换元数据。没有可依赖的自助门户,也没有按客户划分的 SSO 模型。 |
登录体验、MFA、Passkeys 和企业 SSO 都可以在 Logto Console 中或通过 Management API 完成配置。品牌定制、自定义 JWT 声明和 webhooks 覆盖了团队过去只能在策略 XML 中手工搭建的场景。改动只需一次开关切换或一次 API 调用,而不是上传一份策略再开一个 Application Insights 会话。
Logto 的组织为每个企业客户提供各自的成员、角色和企业 SSO 连接,并在其用户首次登录时进行即时(JIT)预置。B2C 只能让你用自定义属性手动建模的东西,在 Logto 中则是一等的产品能力。
你已经见识过一个专有身份平台停止销售时会发生什么。Logto Cloud 是完全托管的服务,与 Logto 的开源版本(13k+ GitHub 星标)运行同一套代码。如果有一天成本或路线图不再适合你,你随时可以转为自托管、继续前行,无需任何人许可。
我们坚持诚实的定位。Logto 并不适合每一位 Azure AD B2C 客户。
| Logto | Azure AD B2C | |
|---|---|---|
| 关键差异 | ||
| 产品生命周期产品是否向新客户开放并在持续开发 | 持续开发单一产品线 | 自 2025 年 5 月起对新客户关闭新功能落在另一款产品上 |
| 高级自定义如何超越内置的登录流程 | 控制台与 API自定义 JWT 声明和 webhooks | XML 自定义策略(Identity Experience Framework) |
| 企业 SSO企业客户使用自己的身份提供商登录 | 在控制台中配置 SAML 和 OIDC 连接器 | SAML 联合需要自定义策略 |
| B2B / 多租户将企业客户建模为拥有角色的组织 | 无限制*拥有角色和按组织 SSO 的组织 | 无内置组织模型 |
| SPA 会话保持单页应用用户的登录状态 | 可轮换的刷新令牌,生命周期可配置 | SPA 刷新令牌上限为 24 小时 |
| 部署选项身份验证服务可以在哪里运行 | 云端、私有云或自托管 | 仅限 Microsoft 托管 |
| 免费套餐免费计划包含的内容 | 最高 50K MAU 和 50K 令牌 | 前 50K MAU 免费 |
基于截至 2026 年 7 月的公开信息。最新详情请以各厂商官方信息为准。
* "无限制"是指功能没有固定限制,但需遵守系统政策以确保公平使用、安全性和最佳性能。
说句实在话:Azure AD B2C 不允许你导出密码哈希,因此没有任何厂商能承诺让每一个现有密码在批量迁移后都悄无声息地继续可用。Microsoft 自己的 External ID 指南也在绕开同样的限制。
其余的一切都能干净利落地迁移。通过 Microsoft Graph API 导出用户档案,再用 Logto 的 Management API 批量导入。使用社交登录或无密码方式登录的用户完全不会察觉到这次切换。
对于密码用户,可以规划一次性重置或分阶段推进。正确的做法取决于你的用户群,所以告诉我们你的具体情况,我们会帮你规划切换方案。
阅读用户迁移指南 →每一次迁移都略有不同。如果指南没有覆盖你的情况,请联系我们,告诉我们你的需求。
Microsoft 并没有使用“弃用”这个词,但自 2025 年 5 月 1 日起,Azure AD B2C 不再向新客户开放购买,Premium P2 层级也已于 2026 年 3 月 15 日停止提供。Microsoft 表示将至少继续支持现有租户到 2030 年 5 月。
它们是两款独立的产品,Microsoft 明确表示 External ID 并不是 Azure AD B2C 的新名字。External ID 是 Microsoft 的新一代 CIAM 平台,其迁移指南也将现有 B2C 客户引向这里。它不支持 XML 自定义策略;Microsoft 已承诺为现有自定义策略提供迁移路径,但截至 2026 年 7 月仍未推出。
不必立刻迁移。现有租户至少会得到支持到 2030 年 5 月,Microsoft 对 B2C 作出的承诺涵盖安全性、可用性和可靠性。新功能的开发则转到了 Entra External ID。由于迁移到那里本身就是一个迁移项目,许多团队索性把这当作评估整个 CIAM 市场的时机,而不是默认选择同门升级。
Microsoft 自己的后继产品是 Entra External ID,对于深度投入 Microsoft 生态的团队而言,这很合理。如果你想要多租户 B2B 功能、无需自定义策略的企业 SSO,以及自托管的选择权,而不是把赌注押在又一个专有产品的生命周期上,那么 Logto 是一个有力的选择。Auth0 和其他 CIAM 厂商也值得评估。
Microsoft、Azure 和 Microsoft Entra 是 Microsoft 集团公司的商标。功能对比基于截至 2026 年 7 月的公开信息,最新详情请以各厂商官方信息为准。