Car*_*any 7 c# azure asp.net-mvc-5 azure-active-directory
我有一个Azure webapp,它通过Azure AD管理它的用户.我希望用户能够在我的Azure AD目录中注册以创建帐户(自助服务),因此我为应用程序提供了对目录的读写访问权限,并使用Graph API设置页面来创建用户.
到此为止,一切都很棒.但我现在遇到的问题是我想启用多租户,因此外部AD目录的用户可以登录我的应用程序.这有效,但我需要以帐户的管理员身份登录,因为它还要求对其目录进行读写访问.
有没有办法来解决这个问题?我只想对我的目录进行读写访问才能创建用户帐户.我不想要求允许触摸他们的目录,因为很可能他们不相信我的应用程序.
谢谢.
我找到了一个快速但肮脏的解决方案:将另一个应用程序添加到 Active Directory。此应用程序应该是单租户,并且只有读取和写入活动目录的权限。我们可以使用此应用程序的凭据来访问 Graph API,并使用其他应用程序的凭据来对用户进行身份验证。
我等着看是否有人针对这种情况有更好的解决方案......