这是一个场景。我有一个 SaaS 产品,需要对客户的 Azure 云帐户进行 API 调用。我知道可以在客户的 AZ 帐户上创建一个服务主体,如果我有凭据(应用程序 ID、密码等),我可以根据该主体的权限使用该用户/主体进行调用。一种方法是客户为我的产品创建它,然后进入我的产品门户(Web UI)并输入此信息,然后我的 SaaS 产品可以安全地将其存储在保险库中并使用它。
有没有更好的方法来实现主体的创建?例如通过应用程序清单或其他方式,然后还可以将事件网格通知或带有应用程序/主体凭据的内容发送到 webhook url 端点?
基本上,我希望它尽可能地自动化,但却想不出是否有可能。
答案1
没有一种简单的方法可以自动在另一个租户中创建 SP,AAD 中存在的大部分内容都是为来自另一个租户的用户授予对您的应用的访问权限,而这不是您想要的。
我所知道的几乎每个执行某种 Azure 配置的应用程序都要求应用程序用户在应用程序中手动提供服务主体详细信息。