场景
我在我的家庭租户中注册了多租户 Azure 应用程序,该应用程序配置为本机客户端并带有用于身份验证的证书。权限设置为多个读取应用程序权限。然后我有一个 Azure 自动化 Runbook 作为守护程序应用程序,它使用 client_credentials 流和存储在 Azure 中的证书对应用程序进行身份验证。
然后会为客户提供一个指向管理浓度端点的链接。其租户中的应用已获得同意,我们可以启动 Azure 自动化 Runbook,通过 MSGraph API 为客户租户收集数据。
问题 一般来说,我只想验证我对多租户 Azure 应用程序的理解以及应用程序的使用方式和使用对象。
从逻辑上讲,客户应该无法使用该应用程序访问已同意该应用程序的其他客户/租户。但我想了解为什么/如何这是不可能的。我知道在获得同意后,会为客户租户中的 Azure 应用程序创建一个应用程序实例(serviceprincipal),并且该应用程序会在该租户内的企业应用程序列表中弹出。
那么,在这种情况下,只要您无权访问配置的证书,客户就无法以任何方式访问其他客户/租户信息,我说的对吗?反过来说,当为应用程序配置了证书时,如果没有证书就无法通过应用程序进行身份验证?
其次,客户管理员将用户分配到他们自己的租户中的企业应用程序会产生什么影响?据我所知,这在这种情况下不会起作用。我说得对吗?