我是一名解决方案架构师,负责在 Azure 上设置项目的基础结构。该项目应该在多个环境中运行(开发、暂存、生产)。据我所知,Azure 中环境分离的最佳实践是使用资源组。我就是这么做的。
然而,这就是事情开始变得棘手的地方。我们的应用程序将使用Azure AD 作为 OAuth 授权服务器。我希望将我的AD 隔离,就像我的基础设施中的其他所有内容一样。我不想意外地从开发环境中修改生产用户,对于开发环境,我希望能够创建大量我不想在生产中看到的测试用户。所以,隔离。
问题是我没有看到任何关于如何执行此操作的选项。我的第一直觉是创建多个广告。但当我这样做时,他们实际上需要为每个环境创建一个全新的租户。这对我来说真的很困惑。必须支持与我想要的环境一样多的(几乎是空的)租户。
请问,正确的做法是什么? Azure AD 是否对我需要的隔离提供某种支持? 我错过了什么吗?
注意:这个问题也在 MS Q&A 中提出过。 .
最佳答案
您说得对,租户相当于目录,用户要么在目录中,要么不在目录中。但是,使用 RBAC,您可以限制用户的权限,使他们无法访问特定服务。如果您通过订阅来分离权限,那就太好了,这是许多大公司所做的,也是他们如何知道订阅处理哪些工作负载的方式。
关于azure - 支持多个环境时使用 Azure AD 的正确方法是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69829225/