Многопользовательское приложение Azure создает пользователя / принципала с доступом к одной подписке

Question

У меня есть мультитенантное приложение, которое управляет ресурсами Azure от имени клиента. У нас нет проблем с управлением ресурсами с помощью приложения после создания участника службы и определения ролей.

Однако у нас есть вариант использования, когда у нас есть вторая система, которая работает для каждого клиента и управляет только одной подпиской. Можно ли как-нибудь создать учетную запись, которая имеет доступ только к этой единственной подписке?

Я попытался установить пароль для созданного субъекта службы. К сожалению, кажется, что вы не можете войти в Azure, используя учетную запись субъекта-службы, если приложение, связанное с субъектом-службой, не принадлежит тому же клиенту.

Answer 1

Вам необходимо зарегистрировать субъекта службы в клиенте с доступом к ресурсам подписки через RBAC Azure. В мультитенантном приложении участник службы генерируется, когда пользователь соглашается с его разрешениями.

Для вашего сценария вам необходимо создать приложение в их клиенте Azure AD (которое автоматически создает субъект-службу для приложения в клиенте). Затем вам нужно дать роль участника службы в подписке. Затем вы можете получить токены доступа с идентификатором приложения и секретным ключом. Вы не можете войти через обычную форму входа. Вам необходимо выполнить проверку подлинности учетных данных клиента с помощью Azure AD, и в ответ вы получите токен доступа, который затем можно использовать для проверки подлинности запросов к API ARM Azure.

Спросите, нужна ли вам информация о некоторых шагах:)