在我们的应用程序中,作为登机流程中客户的一部分,需要使用图谱api查询和导入第三方天蓝色的AD资源,例如他们的用户/组。为了实现这一目标,建议采用以下哪种方法?为什么?
1.在我公司的Azure AD中创建“ AD App Registration”,并与第三方共享以获取其全球管理员同意?在连接时,我的广告应用程序将在“企业应用程序”下的第三方广告中列出,而我公司的“广告应用程序”的客户端凭据将在连接时由我们的应用程序使用
并通过图表api查询第三方AD资源(如其用户/组)
(或)
2.要求第三方在其Azure AD中创建AD App注册并与我们共享其AD App客户凭据?在通过图谱api连接和查询第三方AD资源(例如其用户/组)的同时,我们的应用程序将配置和使用第三方共享客户端凭据的地方
答案 0 :(得分:0)
我会采用第一种方法。另外,您没有明确提及它,但是您需要将您的应用注册为多租户。
原因
多租户v / s重复自定义方式
您描述的选项1是常规多租户模式。它通常与SaaS应用程序一起使用,并且同意框架正是用于此目的。
一个示例场景-假设明天您的应用程序变得流行,并且您想为100个客户(而不是一个)这样做。选项1(或多租户应用程序)将继续以相同的方式工作,但是在选项2中,您现在必须考虑100个不同的应用程序和100个不同的客户,以说服他们与您共享客户端凭据(这乍看似乎是错误的) )。
现在,如果您的应用程序发生了任何变化(例如,您需要一个新的权限,并且需要更新您的应用程序所需的权限),则您必须在选项2中更改100个不同的应用程序注册,并为每个下一次更改继续更改这些注册(排序使这些注册保持同步)。在选项1中,您只需更改单个应用程序的注册即可。您只需要征求同意即可。
应用程序的所有权
从您的描述看来,您/您的公司正在开发此应用程序并因此拥有它。应用程序所有者可以做什么的一些实际示例。我已经在上面给出了一个示例,其中可以更改应用程序的所需权限。另一个可能是,如果您使用应用程序密钥(机密),则应该负责旋转/管理这些密钥或根据需要按需更改它们,或者说从使用机密更改为证书。假设您只需更新与您的应用相关联的徽标即可。基本想法是您/您的公司拥有选项1中的应用程序,因此您将能够控制和更改并对它负责。