AD App Регистрация или корпоративное приложение для запроса сторонних Azure AD с помощью Graph API?

Question

В рамках процесса регистрации в нашем приложении клиент должен запрашивать и импортировать сторонние ресурсы Azure AD, такие как их пользователи / группы, с помощью Graph API.Для этого рекомендуется какой из предложенных ниже подходов и почему?1. Создайте «Регистрация приложения AD» в моей компании Azure AD и поделитесь ею с третьей стороной, чтобы получить их глобальное согласие администратора?где мое приложение AD будет указано в AD стороннего поставщика в разделе «Корпоративное приложение», а учетные данные клиента приложения AD моей компании будут использоваться нашим приложением при подключении и запросе ресурсов AD сторонних компаний, таких как их пользователи / группы, через Graph API.(или же)2. Попросить третью сторону создать регистрацию приложения AD в своей Azure AD и поделиться с нами учетными данными клиента приложения AD?где сторонние общие клиентские учетные данные будут настраиваться и использоваться нашим приложением при подключении и запросе сторонних ресурсов AD, таких как их пользователи / группы, через graph api

Answer 1

Я бы пошел с первым подходом.Кроме того, вы не упомянули об этом явно, но вам нужно будет зарегистрировать приложение как мультитенантное.

Причины

1. Многопользовательские v / s, повторяющие пользовательский способ

   Опция 1, которую вы описали, является обычной моделью многопользовательского режима.Это обычно используется с приложениями SaaS, и структура согласия предназначена именно для этого.

   Один пример сценария - скажем, завтра ваше приложение станет популярным, и вы хотите сделать это для 100 клиентов, а не для одного.Вариант 1 (или мультитенантное приложение) продолжит работать так же, но в варианте 2 теперь вам нужно подумать о 100 разных приложениях и 100 разных клиентах, чтобы убедить их в том, что они делятся с вами учетными данными клиента (что в первую очередь кажется неправильным)).

   Теперь, если что-то в вашем приложении изменится (скажем, вам нужно еще одно разрешение и вам необходимо обновить необходимые разрешения для вашего приложения), вам придется изменить 100 различных регистраций приложений в варианте 2 и продолжать изменять эти регистрации для каждого следующегоизменить (вроде как синхронизировать эти регистрации).В варианте 1 вы просто изменяете регистрацию одного приложения.Вам нужно будет только запросить согласие.

2. Право собственности на приложение

   Из вашего описания видно, что вы / ваша компания разрабатывает этоприложение и, следовательно, владеет им.Несколько практических примеров того, что может сделать владелец приложения.Я уже привел пример выше, где требуемые разрешения для приложения могут измениться.Другим примером может быть, если вы используете ключи (секреты) приложения, ваша ответственность заключается в том, чтобы иметь возможность поворачивать / управлять этими ключами или изменять их по требованию, если это необходимо, или сказать, что нужно перейти от использования секрета к сертификату.Допустим, просто обновите логотип, связанный с вашим приложением.Основная идея заключается в том, что вы / ваша компания владеете приложением в варианте 1, поэтому вы сможете контролировать и изменять, а также нести за него ответственность.