我正在使用Redgate Data Platform Studio将数据从本地SQL Server传输到Azure托管的SQL Server。此基于Web的应用程序只需登录我公司的ADFS,即可使用Azure存储帐户(用于数据传输)。当我登录到公司的活动目录(通过ADFS)时,该Web应用程序可以成功查看我的ADFS用户拥有的订阅(简称为订阅A)中的存储帐户。我们将我的公司的AD目录称为A。
我还有一个订阅B,该订阅B由与我公司的Active Directory不相关的Microsoft帐户拥有。此订阅B由另一个Azure AD租户B管理,该Microsoft帐户为服务管理员和所有者。为了链接这两个目录,我使用了here中所述的B2B 状态3 配置。因此,在目录B中,我的目录A用户显示为来宾用户,并带有Source = 外部Azure Active Directory 。
对于目录B中的存储帐户,我将内置角色“存储Blob数据贡献者”和“存储帐户贡献者”授予来宾用户(源=外部AAD目录A)。因此,在 Microsoft Azure Storage Explorer 和 portal.azure.com 中,我都可以在订阅B中看到存储帐户。
但是,如果我使用目录A凭据(通过我公司的ADFS)登录Redgate应用程序,则Redgate应用程序中仅显示订阅A中的存储帐户。我已经尝试给目录B中的来宾用户赋予该用户以下角色,即使在最高订阅B级别,也没有运气:
我的问题:这是应用程序的限制,它无法访问另一个目录(B)中的订阅,还是目录A / B和/或订阅A / B中有一些配置?我需要设置吗?
答案 0 :(得分:0)
这是应用程序的限制,使其无法访问其他目录中的订阅?
根据我的正式文件和我的理解,您无法在多个目录之间分配订阅。
如官方文件所述:“多个订阅可以信任 相同的Azure AD目录,但
each subscription can only trust a single directory
”。
请参见下面的屏幕截图,并参考here
注意:将订阅关联到其他目录时,使用基于角色的访问控制(RBAC)分配了角色的用户 将失去访问权限。
Classic subscription administrators
(Service Administrator
和Co-Administrators
)也将丢失 访问。请检查Important Note
here
如果您想了解更多详细信息,请refer this docs