我正在使用 Microsoft Graph API 访问来自各种租户 AD 的数据。这是在我的 Azure 租户中托管的 Multi-Tenancy Azure 应用程序。使用应用程序级 token 和客户端凭证流处理身份验证;客户管理员使用 OAuth 授权收集其租赁的数据。客户询问我是否可以根据位置限制对 Azure 应用程序的访问,以便我们的应用程序仅向数据中心内的客户分发 token 。
在我看来,这行不通。微软最近添加了基于工作负载身份的条件访问的可能性;但很明显,这仅适用于单租户应用程序,其中同一租户同时托管企业应用程序和应用程序注册:
https://learn.microsoft.com/en-us/azure/active-directory/conditional-access/workload-identity
Note
Policy can be applied to single tenant service principals that have been registered in your tenant. Third party SaaS and multi-tenanted apps are out of scope. Managed identities are not covered by policy.
但是,我不是专家,可能会做出错误的假设。任何人都可以确认或反驳我在这里发布的内容吗?有什么办法可以满足客户的要求吗?
最佳答案
正如文档中提到的,它仅适用于单一租户,如果您希望该功能也适用于 Multi-Tenancy ,您可以在此处提出相同的功能请求:https://techcommunity.microsoft.com/t5/microsoft-365-developer-platform/idb-p/Microsoft365DeveloperPlatform
关于azure - 使用应用程序级身份验证和 Multi-Tenancy 应用程序根据 IP 地址限制对 Microsoft Graph 的访问,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/75140308/