Доступ к API управления Azure для третьих лиц

Question

Я занимаюсь разработкой приложения, которое интегрируется с учетными записями Azure других компаний.Моему приложению необходим доступ на чтение к службе Azure Monitor в учетных записях Azure наших клиентов.Каков наилучший способ аутентификации?

После прочтения, вот текущее решение, которое я придумал:

Пусть клиент создаст регистрацию приложения в своей учетной записи.После создания регистрации приложения они назначают роль «Мониторинг мониторинга» приложению, которое они создали.Затем клиент вернется к регистрации приложения и создаст секрет клиента.Затем клиент предоставляет моей службе идентификатор клиента, идентификатор клиента и секрет клиента.Моя служба будет использовать их для проверки подлинности с помощью Azure и вызова Azure Monitor.

Является ли это рекомендуемым способом проверки подлинности с помощью Azure от имени третьей стороны?

Answer 1

Я не уверен, что это лучший способ, но на самом деле это возможно.Этот способ с именем поток учетных данных клиента , необходимо использовать этот способ для запроса токена доступа, а затем использовать этот токен для вызова Azure Rest API, например, Правила оповещения - Получить .

Когда вы запрашиваете токен, вам нужно указать resource с https://management.azure.com/, также вы должны заметить, что v1.0 конечная точка отличается от v2.0 , v2.0 использует scope, а не resource, подробности различий см. По этой ссылке .Таким образом, вы должны выбрать правильный вариант, в зависимости от того, какую версию приложения создал ваш клиент.

Кроме того, исправьте некоторые ваши представления о клиенте Azure и подписке Azure.Они не называются учетной записью Azure, монитор Azure - это служба в подписке, подписка находится в клиенте.Приложение AD (регистрация приложения) также находится в клиенте.Вы можете понять, что приложение AD выше подписки, его нет в подписке.