目前是否有可能在我的Azure AD租户中创建应用程序,并允许客户授权其更改其资源组。单击按钮访问客户的azure资源管理器
我基本上想创建一个Web应用程序,它允许任何天青资源拥有者允许我的应用程序向他们选择的资源组添加内容。
我无法弄清楚它是否需要客户具有全局管理员角色才能发挥作用?
是否有可能创建一个流程,让客户登录到我的Web应用程序,并授予此选择的资源组的权限,而无需他成为全局管理员。
是否有可能在Azure门户中选择他的资源组添加允许我的天蓝色广告应用程序访问其资源组,或者需要从客户那里获得这些信息吗?
有两种方法,使第三方应用程序可以访问用户的订阅:
Service Principal的概念来自于在这种情况下,一个人具有管理权限给予一定权限的。应用程序,然后您的应用程序将能够做它允许做的事情。用户不必在场景中。现在来到你的问题:
我基本上要创建一个Web应用程序,允许任何蔚蓝 资源所有者,让我的应用程序中添加一些资源 组自己选择的。
我无法弄清楚它是否需要客户具有全球 管理员角色才能发挥作用?
是的,您可以创建这样的Web应用程序,并且客户不必是全局管理员就可以使用这样的应用程序。实际上,这就是我们在Cloud Portam中提供Azure订阅管理的方式。 Azure Portal以同样的方式工作。当您登录Azure门户时,您只能执行您有权访问的内容。要看到这一点,请使用处于Reader角色的用户登录到Azure门户,并尝试创建一些资源。
是否有可能使流,让客户登录到我的 web应用程序,并给予许可的资源组此选择, 没有他作为全局管理员。
是的,但是完全有可能,但Azure的角度许可将在订阅级别,而不是在资源组级别。再次,因为您将模拟用户,用户无需给予您明确的权限来访问某些资源。 Azure RBAC将为您处理此问题。
是否有可能在蔚蓝门户东西选择他 资源组添加允许我的天蓝色广告的应用程序去他 资源组访问,还是从客户需要什么,这是 可能吗?
是的,可以这样做。但是,在这种情况下,授予应用程序权限的用户应该是允许其执行此操作的角色。他们应该有Microsoft.Authorization资源提供者的书面许可。但请记住,一旦您的应用程序(也称为Service Principal)被授予访问您用户订阅中的资源的权限,则不需要用户登录。您通常会希望将此方法用于后台进程类型的应用程序。
当进行用户模拟时,在授权许可步骤中,它会要求用户允许我的应用程序这样做,但这意味着我的应用程序将有权访问我拥有的所有内容。 (这也是我从不允许应用程序访问的原因,因为我可以访问很多我不信任其他服务的应用程序)。所以我真的希望有一种用户友好的方式来允许用户允许我的应用程序将令牌获得到有限的范围,就像他选择的资源组。 –
我不认为这是可能的。该应用可以完成您可以执行的任何操作,因为该应用正在模拟您。 –
您是否知道在门户网站中是否可以向服务负责人(而不是您自己的AD)提供RG?或者是否必须使用PowerShell?如果用户允许我的应用程序在其RG上执行某些操作而不允许其访问其全部订阅,那么这真的是最好的方式。 –
一些后续问题:1)您是否希望应用程序的用户只在他们使用您的应用程序时向他们的资源组添加内容,或者是否希望应用程序即使在用户不在场时也能进行更改? 2)是否要仅限访问一个资源组或应用程序的用户有权访问的任何资源组? –
1)如果首次给予permision刷新令牌,是否有任何限制?回答你的问题。如果可能的话,当用户在我的应用程序中不活动时,我还希望对资源组进行检查。 2)如果可以允许用户只允许我访问一个RG,那么我希望它更容易让用户采用它(知道我没有访问他的全部订阅)。 –