我正在使用 Azure AD 为位于 Azure AD 外部(内部托管)的应用程序创建用户和组
我希望能够将用户管理委托(delegate)给该应用程序的管理员(创建用户、分配组等)
我可以看到,在高级 Azure AD 订阅中,您可以创建有权访问 WAAD 访问面板 (myapps.microsoft.com) 的 AD 用户,他们可以查看组,您可以将用户分配到组以及查看/操作批准请求
但是,看起来没有任何方法可以通过这个界面创建用户,这很奇怪。如果用户具有“用户管理”角色,那么它似乎应该存在。
是否有其他方法可以向应用程序管理员提供基本级别的用户管理委派?
我能看到的唯一其他方法是用户管理员创建一个全新的 Azure 订阅(但属于同一租户)并通过管理门户 - 这并不理想,因为他们可以访问其他 Azure 资源(创建实例、数据库等)。我只需要管理员就可以访问AD的用户管理
我知道我可以创建另一个应用程序并使用图形 API,但如果 Azure AD 已经有类似的功能,这可能会重新发明轮子。
最佳答案
您可以使用 Azure AD Graph API 以当前设置实现您的目标。
使用Azure AD Graph API Client library作为基础并在您的应用程序中创建一个本地区域,您的应用程序的给定管理员用户可以在其中通过 Graph API 管理 Azure AD 中的用户和组。
how to use Graph API with .NET 上有一个很好的示例上GitHub sample pages for AD .
关于Azure AD 用户管理委派,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28934018/