向访客用户授予存储帐户访问权限(外部Azure Active Directory)

时间:2019-05-16 21:12:01

标签: azure-active-directory azure-storage-blobs adfs azure-ad-b2b

我正在使用Redgate Data Platform Studio将数据从本地SQL Server传输到Azure托管的SQL Server。此基于Web的应用程序只需登录我公司的ADFS,即可使用Azure存储帐户(用于数据传输)。当我登录到公司的活动目录(通过ADFS)时,该Web应用程序可以成功查看我的ADFS用户拥有的订阅(简称为订阅A)中的存储帐户。我们将我的公司的AD目录称为A。

我还有一个订阅B,该订阅B由与我公司的Active Directory不相关的Microsoft帐户拥有。此订阅B由另一个Azure AD租户B管理,该Microsoft帐户为服务管理员和所有者。为了链接这两个目录,我使用了here中所述的B2B 状态3 配置。因此,在目录B中,我的目录A用户显示为来宾用户,并带有Source = 外部Azure Active Directory

对于目录B中的存储帐户,我将内置角色“存储Blob数据贡献者”和“存储帐户贡献者”授予来宾用户(源=外部AAD目录A)。因此,在 Microsoft Azure Storage Explorer portal.azure.com 中,我都可以在订阅B中看到存储帐户。

但是,如果我使用目录A凭据(通过我公司的ADFS)登录Redgate应用程序,则Redgate应用程序中仅显示订阅A中的存储帐户。我已经尝试给目录B中的来宾用户赋予该用户以下角色,即使在最高订阅B级别,也没有运气:

  • 作为共同管理员
  • 作为贡献者
  • 作为存储帐户贡献者
  • 作为存储Blob数据所有者

我的问题:这是应用程序的限制,它无法访问另一个目录(B)中的订阅,还是目录A / B和/或订阅A / B中有一些配置?我需要设置吗?

1 个答案:

答案 0 :(得分:0)

这是应用程序的限制,使其无法访问其他目录中的订阅?

根据我的正式文件和我的理解,您无法在多个目录之间分配订阅。

  

如官方文件所述:“多个订阅可以信任   相同的Azure AD目录,但each subscription can only trust a single directory”。

请参见下面的屏幕截图,并参考here

enter image description here

  

注意:将订阅关联到其他目录时,使用基于角色的访问控制(RBAC)分配了角色的用户   将失去访问权限。 Classic subscription administrators   (Service AdministratorCo-Administrators)也将丢失   访问。请检查Important Note here

如果您想了解更多详细信息,请refer this docs