Azure AD multitenant अनुमतियाँ

Question

मेरे पास एक Azure वेबपैप है जो Azure AD के माध्यम से अपने उपयोगकर्ताओं का प्रबंधन कर रहा है। मैं चाहता हूं कि उपयोगकर्ता खाता (स्वयं सेवा) बनाने के लिए मेरी एज़ूर एडी निर्देशिका में पंजीकरण कर सकें, इसलिए मैंने निर्देशिका को ऐप रीड-राइट एक्सेस दिया और उपयोगकर्ताओं को बनाने के लिए ग्राफ़ एपीआई का उपयोग करके एक पेज सेट किया।

यहां तक ​​कि सबकुछ बढ़िया है। लेकिन अब मेरे पास समस्या यह है कि मैं बहु किरायेदारी सक्षम करना चाहता हूं, इसलिए बाहरी एडी निर्देशिका के उपयोगकर्ता मेरे ऐप में लॉगिन कर सकते हैं। यह काम करता है, लेकिन मुझे खाते के लिए व्यवस्थापक के रूप में लॉगिन करने की आवश्यकता है क्योंकि यह को निर्देशिका में पढ़ने-लिखने की पहुंच भी पूछता है।

क्या इसे ठीक करने का कोई तरीका है? मैं केवल उपयोगकर्ता खातों को बनाने में सक्षम होने के लिए अपनी निर्देशिका में पढ़ने-लिखने की पहुंच चाहता हूं। मैं अपनी निर्देशिका को छूने की अनुमति नहीं मांगना चाहता क्योंकि शायद, वे मेरे ऐप पर भरोसा नहीं करेंगे।

धन्यवाद।

Answer 1

मुझे एक त्वरित और गंदा समाधान मिला: सक्रिय निर्देशिका में एक और ऐप जोड़ें। यह ऐप एकल किरायेदार होना चाहिए और सक्रिय निर्देशिका को पढ़ने और लिखने की अनुमति है। हम उपयोगकर्ताओं को प्रमाणीकृत करने के लिए ग्राफ़ एपीआई और अन्य ऐप के क्रेडेंशियल्स तक पहुंचने के लिए इस ऐप के क्रेडेंशियल्स का उपयोग कर सकते हैं।

मैं अगर किसी को इस स्थिति के लिए एक बेहतर समाधान है देखने के लिए इंतजार ...

Answer 2

देर प्रतिक्रिया यहाँ के लिए खेद है। सामान्य रूप से, निर्देशिका (जैसे उपयोगकर्ताओं) में ऑब्जेक्ट्स बनाने के लिए एक ऑपरेशन के लिए व्यवस्थापक अनुमतियों की आवश्यकता होती है। साथ ही ऐसा लगता है कि आप जिस वेब ऐप को बना रहे हैं वह ऐप-केवल अनुमतियों का उपयोग करता है, जिसे निश्चित रूप से व्यवस्थापक सहमति की आवश्यकता होती है। बहु-किरायेदार मामले में, सहमति देने वाले किरायेदार का व्यवस्थापक इस प्रकार के ऐप से सहमत होने वाला होना चाहिए - केवल इस भूमिका में से किसी को इस स्तर के उपयोग के लिए सहमति देने का अधिकार है। वैसे भी इस तरह के बाहरी/अधूरा प्रवेश, भूमिका विसंगतियां हैं, और वहाँ के रूप में प्रमाणीकरण उपयोगकर्ता पर कुछ अजीब साइड इफेक्ट हो सकता है -

आशा है कि मदद करता है,

Answer 3

प्रमाणीकरण भूमिका के एवज में एक माध्यमिक एप्लिकेशन का उपयोग करने की आवश्यकता नहीं है - गायब प्रणाली/आंतरिक संदर्भ।

आप अपने ऐप (किरायेदार आदि) के लिए लॉगिन प्रमाण-पत्रों के लिए क्या उपयोग कर रहे हैं? एडी क्रेडेंशियल प्रबंधन में बहुत सख्त है, इसलिए मैं ऐप संरचना पर वापस जाऊंगा।

क्वेरी स्तर पर, आप सभी तालिकाओं को बिना किसी साझा तालिका डेटा के प्रति किरायेदार को पूरी तरह से अलग कर सकते हैं और एक बहुमुखी पहचानकर्ता कॉलम शामिल कर सकते हैं ताकि कोई भी स्पष्ट रूप से एसक्यूएल इंजेक्ट कर सके यदि आप बहुमुखी पहचानकर्ता को एक स्पष्ट चर के रूप में शामिल करना चाहते हैं।

फिर एक इकाई मॉडल में, आप किरायेदार पहचानकर्ताओं (ईएफ के एक हिस्से के रूप में) को संदर्भित करने वाले सभी के लिए एक बहुमुखी इंटरफेस का उत्तराधिकारी हो सकते हैं।

इस तरह बोझ को ओएथ या अन्य पुस्तकालयों के लिए अलग किया जाता है ताकि तीसरे पक्ष के प्रमाणीकरण की देखभाल की जा सके।