我们构建了一个应用程序,可以读取有关客户云资源的信息并为他们提供洞察力。它目前已针对 AWS 实施。
在 AWS 中,我让我的客户使用信任策略和外部 ID 创建一个 IAM 角色,并与我共享该信息。然后我“担任角色”进入他们的帐户。Azure 中的等效方法是什么?
我看到了“应用程序”、“服务主体”等概念——但我阅读的所有内容似乎都非常关注 SSO 和授权企业用户“访问外部应用程序”,而不是授权服务器端应用程序本身。
我应该创建一个“应用程序”并让他们添加它吗?我是否创建一个用户并让他们邀请它?抱歉 - 我对 Azure 还很陌生,到目前为止,大多数文档都将我视为 IT 管理员,试图将 Jira 添加到 IdP 门户。
好吧,您可以让他们完成所有操作并为您提供凭据,或者构建一个允许他们以半自动方式设置所有内容的应用程序。
手动选项要求他们创建应用程序注册,从而生成服务主体,然后将 RBAC 角色授予服务主体。然后他们可以给你租户 ID、客户 ID 和密码。除了秘密,您还可以创建证书并给他们公钥。他们可以将其作为凭据添加到应用程序中。
他们也可以使用命令行工具来生成 SP 和应用程序https://docs.microsoft.com/en-us/cli/azure/ad/sp?view=azure-cli-latest#az-ad-sp -create-for-rbac
半自动选项是构建一个在 AAD 租户中注册为多租户应用程序的应用程序,并且需要以当前登录用户身份访问 Azure 资源管理 API。然后他们可以登录,您可以获得他们的订阅列表,他们可以选择一个,您可以立即进行分析。您也可以存储刷新令牌以保持更长的访问时间。