Azure active directory Azure多租户应用程序创建可访问一个订阅的用户/服务主体
我有一个代表客户管理Azure资源的多租户应用程序。一旦创建了服务主体并定义了角色,我们就可以使用应用程序管理资源 然而,我们有一个用例,在这个用例中,我们有第二个系统,它以每个客户为基础工作,并且它只管理一个订阅。我有没有办法创建一个只能访问该订阅的帐户Azure active directory Azure多租户应用程序创建可访问一个订阅的用户/服务主体,azure-active-directory,azure-ad-graph-api,Azure Active Directory,Azure Ad Graph Api,我有一个代表客户管理Azure资源的多租户应用程序。一旦创建了服务主体并定义了角色,我们就可以使用应用程序管理资源 然而,我们有一个用例,在这个用例中,我们有第二个系统,它以每个客户为基础工作,并且它只管理一个订阅。我有没有办法创建一个只能访问该订阅的帐户 我试图为创建的服务主体设置密码。不幸的是,如果与服务主体关联的应用不在同一租户中,则您似乎无法使用服务主体帐户登录Azure。您需要在租户中注册服务主体,以便通过Azure的RBAC访问订阅资源。 使用多租户应用程序,当用户同意其权限时,将生
我试图为创建的服务主体设置密码。不幸的是,如果与服务主体关联的应用不在同一租户中,则您似乎无法使用服务主体帐户登录Azure。您需要在租户中注册服务主体,以便通过Azure的RBAC访问订阅资源。 使用多租户应用程序,当用户同意其权限时,将生成服务主体 对于您的场景,您需要在他们的Azure AD租户中创建一个应用程序(这会自动为租户中的应用程序创建一个服务主体)。 然后,您需要为服务主体提供订阅上的角色。 然后,您可以获得带有服务主体的应用程序id和密码的访问令牌。 您不能通过普通登录表单登录。 您需要对Azure AD执行客户端凭据身份验证,并且您将在响应中获得一个访问令牌,然后您可以使用该令牌对Azure的ARM API请求进行身份验证
请务必询问您是否需要有关某些步骤的详细信息:)我们实际上也尝试过。但这似乎要求用户不仅是订阅管理员,还必须是目录管理员(除非有一个我们可以使用的权限集需要更少的权限)