我们构建了一个应用程序,该应用程序读取有关客户的云资源的信息,并为他们提供见解。目前已针对AWS实施。
在AWS中,我让我的客户创建一个具有信任策略和外部ID的IAM角色,并与我共享该信息。然后,我将“承担角色”放入他们的帐户。 Azure中的等效方法是什么?
我看到了诸如“应用程序”,“服务主体”之类的概念-但我读到的所有内容似乎都集中在SSO上,并授权企业用户“访问外部应用程序”,而不是自己授权服务器端应用程序。
我应该创建一个“应用程序”并添加它们吗?我要创建一个用户并邀请他们吗?抱歉-我对Azure来说还很陌生,到目前为止,大多数文档都将我视为试图将Jira添加到IdP门户的IT管理员。
答案 0 :(得分:1)
好吧,您可以让他们完成所有工作并提供凭据,或者构建一个应用程序,使他们可以半自动设置所有内容。
手动选项要求他们创建应用程序注册,该注册将生成服务主体,然后将RBAC角色授予该服务主体。然后他们可以为您提供租户ID,客户ID和机密信息。除了秘密以外,您还可以创建证书并为他们提供公钥。他们可以将其添加为应用程序的凭据。
也可以使用命令行工具来生成SP和应用https://docs.microsoft.com/en-us/cli/azure/ad/sp?view=azure-cli-latest#az-ad-sp-create-for-rbac
半自动选项是,您构建一个应用程序,该应用程序在AAD租户中注册为多租户应用,并且需要以当前登录用户身份访问Azure资源管理API。 然后,他们可以登录,可以获取其订阅列表,可以选择一个列表,然后可以在此处进行分析。 您可以存储刷新令牌,以保持更长的访问时间。