Аутентификация Azure AD использует токены.
Таким образом, любое приложение, желающее вызвать ваш API, должно пройти аутентификацию с помощью AAD и приобрести токен для API.
Если эти пользователи создают приложения в вашей организации, они могут зарегистрировать свое приложение в вашей AAD и получить доступ к вашему API. Они будут создавать и управлять своими собственными ключами.
Если, с другой стороны, эти пользователи создают приложение для другой организации, вам придется сделать свой API мультитенантным приложением.
И вам нужно будет иметь встроенную страницу в вашем API, через которую вы будете перенаправлять их администратора / пользователя на страницу входа в AAD, где они согласятся на любые разрешения, необходимые вашему API.
После этого в их арендаторе создается руководитель службы.
Затем они могут зарегистрировать свои клиентские приложения и получить доступ к вашему API.
Они будут иметь полный контроль над тем, какие разрешения они хотят назначить каждому приложению, какие роли назначать пользователям и т. Д. Но, разумеется, токены будут содержать их идентификаторы клиентов, поэтому вы можете фильтровать доступ к ним.