我正在使用Azure AD为位于Azure AD之外的应用程序(内部托管)创建用户,组
我希望能够将用户管理委派给该应用程序的管理员(创建用户,分配组等)
我可以看到,在Premium Azure AD订阅中,您可以创建可以访问WAAD访问面板(myapps.microsoft.com)的AD用户,他们可以查看组,您可以将用户分配到组和查看/操作批准请求
然而,看起来没有任何方法可以通过此接口创建用户,这很奇怪。如果用户有"用户管理"它似乎应该存在。角色。
是否有其他方法可以为应用程序管理员提供基本级别的用户管理委派?
我能看到的另一种方法是让用户管理员创建一个全新的azure订阅(但是同一租户的一部分)并通过管理门户 - 这不是理想的,因为他们可以访问其他Azure资源(创建实例,db等)。我只需要管理员就可以访问AD的用户管理
我知道我可以创建另一个应用程序并使用Graph API,但如果Azure AD已经有类似的东西,这可能会重新发明轮子。
答案 0 :(得分:3)
您可以使用Azure AD Graph API通过当前设置实现目标。
使用Azure AD Graph API Client library作为基础并在应用程序中创建本地区域,其中应用程序的管理员用户可以通过图谱API管理Azure AD中的用户和组。
how to use Graph API with .NET上的GitHub sample pages for AD上有一个很好的示例。