我正在使用Azure AD作为身份提供者来创建Web应用程序。我想在Azure AD或Graph API中为每个用户存储机密数据。根据文档,对于给定租户中的每个应用程序,Azure AD用户架构扩展和Graph API开放扩展都是可见的,并且缺少细化权限以仅限制特定用户[extension]属性的访问。是否存在将机密数据存储在Azure AD / Graph API中的选项,只有创建它的应用程序可以访问该机密数据,或者存在其权限以专门限制访问而不限制对常用资源(如用户)的访问?例如,我希望我的应用程序能够读写/users/{Id|userPrincipalName}/extensions/myconfidentialextension,同时禁止其他应用程序(即使在同一租户中),同时仍允许其他应用程序访问/users/{Id|userPrincipalName}资源的其他部分
答案 0 :(得分:1)
请看看使用Azure Key Vault,因为这是满足您要求的最佳解决方案。将数据存储在Active Directory中使得它广泛可用。
自定义属性现在在“用户”属性列表中可用,并可以在您的用户流中使用。
这些属性可以通过Azure AD Graph API目录扩展或Microsoft Graph使用。您可以分别使用Azure AD Graph Explorer和Microsoft Graph Explorer查看可用属性。