我有一个 Azure Web 应用程序,它通过 Azure AD 管理其用户。我希望用户能够在我的 Azure AD 目录中注册以创建帐户(自助服务),因此我授予应用程序对该目录的读写访问权限,并使用 Graph API 设置页面来创建用户。
到这里为止,一切都很棒。但我现在遇到的问题是我想启用 Multi-Tenancy ,以便外部 AD 目录的用户可以登录我的应用程序。这可行,但我需要以帐户管理员身份登录,因为它还要求对他们的目录进行读写访问。
有办法解决这个问题吗?我只想对我的目录进行读写访问,以便能够创建用户帐户。我不想请求访问他们的目录的权限,因为很可能他们不信任我的应用程序。
谢谢。
最佳答案
我找到了一个快速但肮脏的解决方案:将另一个应用程序添加到 Active Directory。此应用程序应该是单租户,并且只有读取和写入事件目录的权限。我们可以使用此应用程序的凭据来访问 Graph API,并使用其他应用程序的凭据来对用户进行身份验证。
我等着看是否有人针对这种情况有更好的解决方案......
关于c# - Azure AD Multi-Tenancy 权限,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30502594/