目前是否有可能在我的Azure AD租戶中創建應用程序,並允許客戶授權其更改其資源組。單擊按鈕訪問客戶的azure資源管理器
我基本上想創建一個Web應用程序,它允許任何天青資源擁有者允許我的應用程序向他們選擇的資源組添加內容。
我無法弄清楚它是否需要客戶具有全局管理員角色才能發揮作用?
是否有可能創建一個流程,讓客戶登錄到我的Web應用程序,並授予此選擇的資源組的權限,而無需他成爲全局管理員。
是否有可能在Azure門戶中選擇他的資源組添加允許我的天藍色廣告應用程序訪問其資源組,或者需要從客戶那裏獲得這些信息嗎?
有兩種方法,使第三方應用程序可以訪問用戶的訂閱:
Service Principal的概念來自於在這種情況下,一個人具有管理權限給予一定權限的。應用程序,然後您的應用程序將能夠做它允許做的事情。用戶不必在場景中。現在來到你的問題:
我基本上要創建一個Web應用程序,允許任何蔚藍 資源所有者,讓我的應用程序中添加一些資源 組自己選擇的。
我無法弄清楚它是否需要客戶具有全球 管理員角色才能發揮作用?
是的,您可以創建這樣的Web應用程序,並且客戶不必是全局管理員就可以使用這樣的應用程序。實際上,這就是我們在Cloud Portam中提供Azure訂閱管理的方式。 Azure Portal以同樣的方式工作。當您登錄Azure門戶時,您只能執行您有權訪問的內容。要看到這一點,請使用處於Reader角色的用戶登錄到Azure門戶,並嘗試創建一些資源。
是否有可能使流,讓客戶登錄到我的 web應用程序,並給予許可的資源組此選擇, 沒有他作爲全局管理員。
是的,但是完全有可能,但Azure的角度許可將在訂閱級別,而不是在資源組級別。再次,因爲您將模擬用戶,用戶無需給予您明確的權限來訪問某些資源。 Azure RBAC將爲您處理此問題。
是否有可能在蔚藍門戶東西選擇他 資源組添加允許我的天藍色廣告的應用程序去他 資源組訪問,還是從客戶需要什麼,這是 可能嗎?
是的,可以這樣做。但是,在這種情況下,授予應用程序權限的用戶應該是允許其執行此操作的角色。他們應該有Microsoft.Authorization資源提供者的書面許可。但請記住,一旦您的應用程序(也稱爲Service Principal)被授予訪問您用戶訂閱中的資源的權限,則不需要用戶登錄。您通常會希望將此方法用於後臺進程類型的應用程序。
當進行用戶模擬時,在授權許可步驟中,它會要求用戶允許我的應用程序這樣做,但這意味着我的應用程序將有權訪問我擁有的所有內容。 (這也是我從不允許應用程序訪問的原因,因爲我可以訪問很多我不信任其他服務的應用程序)。所以我真的希望有一種用戶友好的方式來允許用戶允許我的應用程序將令牌獲得到有限的範圍,就像他選擇的資源組。 –
我不認爲這是可能的。該應用可以完成您可以執行的任何操作,因爲該應用正在模擬您。 –
您是否知道在門戶網站中是否可以向服務負責人(而不是您自己的AD)提供RG?或者是否必須使用PowerShell?如果用戶允許我的應用程序在其RG上執行某些操作而不允許其訪問其全部訂閱,那麼這真的是最好的方式。 –
一些後續問題:1)您是否希望應用程序的用戶只在他們使用您的應用程序時向他們的資源組添加內容,或者是否希望應用程序即使在用戶不在場時也能進行更改? 2)是否要僅限訪問一個資源組或應用程序的用戶有權訪問的任何資源組? –
1)如果首次給予permision刷新令牌,是否有任何限制?回答你的問題。如果可能的話,當用戶在我的應用程序中不活動時,我還希望對資源組進行檢查。 2)如果可以允許用戶只允許我訪問一個RG,那麼我希望它更容易讓用戶採用它(知道我沒有訪問他的全部訂閱)。 –