我是Microsoft Azure中托管的多租户SaaS Web应用程序的主要开发人员。我们使用Azure AD进行所有身份验证。由于我们的应用程序拥有个人信息,因此我们和客户希望有一种方法来限制对特定用户的访问。我们只需要一个简单的是/否限制,因此只有分配的用户才能访问该应用程序。我们已经考虑了应用程序角色,但是当唯一需要的选项被“授权”时,似乎需要很多开销。
在研究这个问题时,我在Azure AD中遇到了以下“需要用户分配”属性。 User assignment required property in Azure Portal
经过一些测试,我发现它完全按照我们的需要运行。客户可以完全控制哪些用户可以访问该应用程序,并且任何一方都不必配置应用程序角色。唯一的缺点是该属性是在客户端配置的。作为开发人员,我有办法要求这个设置吗?或者也许是一种默认启用此设置的方法?
澄清:最终目标是客户完成的最小配置。如果开发人员可以启用“需要用户分配”(在客户注册之前),那将是理想的。
答案 0 :(得分:0)
基本上您无法提前指定,由客户的管理员来设置要求。 这是他们关心的问题,而不是您的应用所关注的问题。
一种可能的方法是通过Graph API调用将创建的服务主体上的appRoleAssignmentRequired
设置为true
。
但这需要非常特权的访问权限,并且他们的管理员已登录。