У меня есть приложение Active Directory Active Directory (и связанный с ним сервис). Эта служба Принципал должен иметь возможность добавлять и удалять пользователей из Azure группы Active Directory ... поэтому я добавил данных каталога читать и писать в разделе Разрешения Применение:Права доступа к объекту Azure Active Directory
И у меня есть код, который использует Client ID и Client Secret, чтобы получить токен аутентификации, выполните эти операции с использованием API Azure Graph.
Однако это разрешение слишком широкое. Мне нужен Принцип приложения/службы, чтобы иметь возможность добавлять и удалять членов из определенных групп (не всех) ... а не возможность выполнять другие типы операций.
Есть ли способ сделать это?
спасибо.
Я использую Azure группы безопасности AD для управление разрешениями для приложения. В нерабочих версиях приложения разработчики должны иметь возможность добавлять и удалять пользователей из этих групп. При развертывании prod разработчики не должны добавлять и удалять пользователей из этих групп. Существует один набор групп для prod и другой для non prod. Похоже, что Azure не подходит для такого сценария, правильно? – Jeff
Да - я не думаю, что это будет возможно. Может быть, вы можете использовать два отдельных AD? В Azure вы можете создавать несколько AD, и у них будут отдельные идентификаторы tenentID, отдельные пользователи, группы, приложения, разрешения и учетные данные. Для развития, которое может быть безопасным в любом случае. Тогда у вас могут быть несколько наборов (для разных сценариев) пользователей и групп, которые вы создаете/удаляете через API для целей тестирования, и ваши разработчики могут иметь свободное владение во втором AD. Вы даже можете использовать его для автоматизированных тестов. – Daniel
Как я могу заставить пользователей (которые синхронизируются с нашим локальным доменом и аутентифицироваться через MSOL и ADFS), чтобы иметь возможность войти в наше приложение? Я не могу настроить полную интеграцию каталогов с нашими локальными контроллерами домена ... – Jeff