我们正在使用服务主体将Azure租户与客户的租户联系起来。要在客户的租户中创建服务主体,我们需要客户的AD租户的全局管理员来批准和创建服务主体。我们正在尝试找到一种无需全球管理员参与即可实现这一目标的方法。该解决方案可以涉及很少的手动步骤,可以在客户端完成。
答案 0 :(得分:0)
您可以要求客户租户的管理员配置用户设置。
请参阅this document。
检查应用注册设置。此值只能由 管理员。如果设置为是,则Azure AD租户中的任何用户都可以 注册一个应用程序。
然后,您可以使用非管理员帐户创建服务主体。
更新
恐怕您必须使用全局管理员来获得管理员同意,因为权限是针对整个租户的。
我认为全球管理员不需要一直这样做。每次将新权限分配给您的应用时,都需要征得管理员的同意。
答案 1 :(得分:0)
感谢艾伦。赞赏快速反应。实际上,我没有正确提出全部要求。这是另外一个。谢谢!!!
服务主体要求委托访问API,如图所示。看来,它可以由全局管理员授予。其他任何用户/角色都可以这样做吗?最佳做法是什么?我们正试图避免让全球管理员一直这样做,而是希望让项目团队中的某人拥有此流程。
欣赏所有见解。
