验证 SCIM 请求确实来自 Azure AD

Question

tl;dr：我怎么知道 SCIM 请求来自 Azure Active Directory 而不是冒名顶替者？

我想防御以下攻击：

1. Alice 为 SCIM 与 Azure Active Directory 和我的应用程序的集成生成不记名令牌
2. Alice 使用不记名令牌制作 SCIM 请求并要求更新 Bob 的用户，即使 Bob 的用户不属于她的 Azure Active Directory 租户。

由于来自 Azure AD 的 SCIM 请求到达时只带有 Alice 生成的不记名令牌，所以我只能知道 Alice（我不想信任的人）发送了该消息。我不知道 Azure AD（我信任的 IDP）是否代表她发送了消息。为什么从 AD 发出的消息没有签名？

其他人是如何解决这个问题的？