我们将 B2C 用于许多应用。每个应用都由一个单独的团队拥有,目前每个团队都有自己的非生产和生产 B2C 租户。
应用的数量肯定会增长。我们希望今后使用更少的租户。准确地说,我们希望所有应用程序只使用 2 个租户。 1 个非产品和 1 个产品。这种方法的主要问题是,我们目前在租户级别为开发人员应用程序注册授予具有权限的客户端凭据,例如 User.ReadWrite.All 和 Directory.ReadWrite.All。因此,开发人员对一个团队/应用程序的操作可能会无意中影响另一个应用程序的用户。为此,我们希望围绕 Graph API 创建一个包装器用户管理 API,以及这个新 API 的前端。用户管理管理员将在前端进行身份验证并使用自定义 API,该 API 调用 Graph API。希望通过此设置,只有自定义 API 将使用具有 Graph API 权限的客户端凭据授予。用户管理员将进行身份验证以登录前端 Web 应用以使用自定义 API。
问题
答案 0 :(得分:0)
为了分离职责(开发人员无法访问 prod)以及在多个租户(POC、NonProd、Prod)之间复制大量 b2c 设置 - 已经进行了自动化工作以配置 B2C 的日常管理租户。我每个环境都有一个 JSON 文件(dev/test/uat/prod/dr),它提供一个 powershell 脚本来强制执行在租户内创建(100s)应用程序的业务规则。租户的自动化要求您创建一些管理应用程序/服务帐户以通过 API 进行管理,但它会进一步限制您赋予团队的角色(全局 READER 与管理员角色)。不幸的是B2C does not support PIM for JIT/JEA
脚本包括:
还将 B2C 自动化扩展到 IEF 自定义策略 XML 文件部署。