假设我在 Tenant1 中创建了应用程序,并且它具有“任何组织主管中的帐户”。
我需要在此应用中声明 3 个角色:超级管理员、管理员、读者。
Tenant1 的用户如何分配角色已经很清楚了,但是有没有办法将 Tenant1 应用的 SuperAdmin 角色分配给 Tenant2 的用户?或者它应该如何发生?我需要从租户 2 邀请租户 1 中的用户吗?
答案 0 :(得分:1)
基本上,您只能将应用角色分配给使用应用的租户中的用户。
答案将取决于应用程序将在哪个 Azure AD(仅租户 1 或租户 1 和租户 2)中使用。或者换句话说,将创建此应用程序的服务主体的位置 - 仅租户 1 或租户 1 和租户 2。
如果应用仅在租户 1 中使用,则您必须邀请租户 2 中的用户加入租户 1,然后您才能为该用户分配应用角色。
但是,如果应用程序也在租户 2 中使用,那么您无需执行任何特殊操作。租户 2 管理员将能够为其租户中的用户分配所需的应用角色。