Мы разрабатываем управляемое приложение (с использованием шаблонов ARM), которое будет развернуто для нескольких арендаторов. Решение, среди прочего, будет работать с сайтами SharePoint на стороне конечного пользователя.
Мы рассмотрели возможность использования одной мультитенантной регистрации приложения с соответствующими правами. Из-за ограничений безопасности API SharePoint при использовании только приложения Azure в регистрацию приложения необходимо добавить сертификат, а PFX должен быть предоставлен во всех вызовах API.
Мы хотим, чтобы на нашем конце было как можно меньше данных, поэтому мы надеялись включить приложение, которое подключается к SharePoint, как часть развертывания. Однако это может привести к тому, что несколько приложений получат доступ к одному и тому же PFX, что не кажется безопасным.
Я надеюсь, что есть лучший способ сделать это. Должно ли подключаемое веб-приложение вместо этого быть размещено на нашем конце? Существует ли безопасный способ хранения PFX в нескольких местах или сделать его доступным для нескольких арендаторов? Для нас важно, чтобы мы также могли автоматизировать процесс, предпочтительно используя ARM или задание по автоматизации как часть развертывания ... По крайней мере, я был бы благодарен за предложения относительно того, чтобы сделать любые конфигурации относительно безболезненными для конечный пользователь.
PS: мы хотели бы избежать использования учетных записей пользователей службы.