我们的产品是Azure的SaaS监控产品(CloudMonix)。通过ARM API连接到客户的Azure订阅的方式之一就是创建一个针对我们的AD应用程序授权的服务主体。如何正确授权Azure用户帐户,以便它可以创建服务主体?
我们用这篇文章,以使这种授权和一切工作wonderfuly:https://azure.microsoft.com/en-us/documentation/articles/resource-manager-api-authentication/
的问题是,往往我们的用户不能访问到最初用于创建订阅的超级管理员帐户。他们有自己的“共同管理员”帐户。这些用户需要拥有哪些额外权限才能同意我们的AD应用访问他们的AD?他们在哪两个Azure门户中添加这些权限?
TIA
为了同意需要管理员权限的用户需要有“全球管理(GA)”在Azure的AD租户角色的应用程序。这与Azure订阅中的服务管理员或共同管理员角色不同。
只有现有的GAs可以授予其他用户GA权限。这意味着如果您的用户无法执行管理员同意,则他们也无法使自己成为Azure AD GAs。您的方案最可能的解决方案是让用户联系其IT部门或设置Azure AD租户或O365的任何人,并要求他们同意应用程序及其GA凭证。一旦管理员同意该应用程序,因为他们以管理员身份执行该操作,则会代表所有用户同意,因此在此之后,其他任何用户都不需要同意该应用程序。
请参见下面的文章,围绕Azure的AD和Azure的订阅之间的关系,更多的细节: https://blogs.technet.microsoft.com/ad/2016/02/26/azure-ad-mailbag-azure-subscriptions-and-azure-ad-2/
而且万一你还是想如何让别人在Azure的AD全球管理的说明,这里的说明为: - 从https://azure.microsoft.com/en-us/documentation/articles/active-directory-assign-admin-roles/