Azure active directory 多租户应用程序中的Azure DocumentDB用户

我正在使用Azure Document DB，因为我们计划创建一个多租户应用程序

对于多租户应用程序，我的想法是为每个租户创建1个db用户。这给了我租户数据完全分离的优势：创建文档时，会向租户用户添加权限。（读/写）这意味着在查询时，数据的作用域始终为当前租户

我还为每个最终用户提供了1个DB用户。但这给了我很多管理文档安全性的开销。当租户z的用户x添加文档时，租户z的所有用户都需要更新该文档的额外权限。这似乎不可行

---

我的假设正确吗？或者你会建议另一种方法吗？对于我们的多租户解决方案，我们选择不使用DoopTeNDB的控件，在中间层做所有的授权，主要是因为我们希望它是基于谓词的，每个租户都不同。也就是说，您在租户级别使用DocumentDB授权功能的方法是有意义的。这将为您的租户提供额外的保证，确保其他租户看不到他们的数据

我的一个想法是，如果你有一些跨租户功能（可能是租户组的形式），那么它会破坏模型，所以你可能想考虑这个问题。

---

我假设租户有数百个，用户有数千个，但不管他们是什么，您都应该确认DocumentDB授权功能可以扩展到该级别。也许监控这一点的DocumentDB产品经理之一可以插话？

DocumentDB中的用户和权限功能旨在为一组细粒度资源授予对数据库的直接访问权。通过创建权限生成的资源令牌是临时的-类似于宣誓令牌的行为。如果您希望授予用户对一组资源的数据库端点的直接访问权，那么这非常适合您。如果您只是想隔离应用程序的租户，那么在中间层执行此操作会容易得多。