我的客户应该如何授权我的服务器端应用程序访问他们的Azure资源？

我们构建了一个应用程序，可以读取客户云资源的相关信息，并为他们提供见解。它目前是为AWS实现的

在AWS中，我让我的客户使用信任策略和外部ID创建IAM角色，并与我共享该信息。然后，我在他们的账户中扮演这个角色。Azure中的等效方法是什么

我看到了应用程序、服务主体等概念，但我读到的所有内容似乎都非常关注SSO和授权公司用户访问外部应用程序，而不是授权服务器端应用程序本身

---

我应该创建一个应用程序并让他们添加它吗？我是否创建一个用户并让他们邀请它？抱歉-我是Azure的新手，到目前为止，大多数文档都将我视为试图将Jira添加到IdP门户的IT管理员

好吧，你可以让他们全部完成，并给你凭证，或者构建一个应用程序，让他们半自动地设置所有内容

手动选项要求他们创建应用程序注册，该注册生成服务主体，然后将RBAC角色授予服务主体。然后他们可以给你租户id、客户id和密码。您还可以创建一个证书并为其提供公钥，而不是密钥。他们可以将其作为凭据添加到应用程序中

他们还可以使用命令行工具生成SP和应用程序

半自动选项是，您构建的应用程序在AAD租户中注册为多租户应用程序，并且需要以当前登录用户的身份访问Azure资源管理API。 然后他们可以登录，你可以得到他们的订阅列表，他们可以选择一个，你可以在那里做分析，然后。

---

您还可以存储刷新令牌，以便在更长的时间内保持访问

谢谢！如果我的应用程序与用户没有互动性，例如每天自动运行，那么可以公平地说RBAC凭据是最好的方法吗？我会说这会更容易。尽管交互只需要一次，但刷新令牌可以并且确实会过期。在这些情况下，您需要它们再次交互以获得新的令牌。第一种注册应用程序的方法不存在这个问题。尽管机密/证书当然会过期。这也是更多的体力劳动。