我使用我的应用向用户请求Azure AD的oauth令牌,以便我可以代表用户使用Azure服务管理API来处理其Azure资源。效果很好,但是现在我的电源太多。
我想将检索到的令牌的范围限制为特定功能,以使我不会意外地(或恶意地)对我的应用程序所模仿的人的Azure资源做坏事。
“ Microsoft Graph” API具有数十个我可以授予的权限:
但是“ Windows Azure服务管理” API只有一个:一切
如何使访问权限更精细以保护我的应用程序和用户?
答案 0 :(得分:0)
使用ASM API,就我所知,您无法真正限制范围。
现在,另一方面,Azure资源管理(ARM)API允许非常小的粒度。 您有使用ASM API的特定原因吗?
使用ARM API,您需要注册一个应用程序,然后将该应用程序角色分配给订阅/资源组/资源,然后它可以执行这些操作。 查看文档以获取有关ARM功能的更多信息:https://docs.microsoft.com/en-us/rest/api/resources/
有关基于角色的访问控制的信息:https://docs.microsoft.com/en-us/azure/role-based-access-control/overview