【发布时间】:2019-11-26 15:50:22
【问题描述】:
我们正在研究 Azure AD B2C,并希望使用 Azure AD Graph API 来创建使用用户管理员角色的用户。出于安全原因,希望仅为 Azure AD B2C 租户而不是 Azure AD 租户分配此权限。我还没有找到这样的例子,所以想确认一下是否可能?
干杯, 最后的建造者
【问题讨论】:
标签: azure-active-directory azure-ad-b2c
【发布时间】:2019-11-26 15:50:22
【问题描述】:
没有单独的 Azure AD 租户和 Azure AD B2C 租户。 都是B2C租户。 因此,通过 Graph API 访问的应用程序意味着可以访问租户中的所有内容。
【讨论】:
-
感谢 juunas,我一直在查看此示例,并注意应用注册需要在 AD 目录级别而不是 b2c 租户级别来分配目录读写权限。这不会在目录级别以及 b2c 租户级别也授予此权限吗? docs.microsoft.com/en-us/azure/active-directory-b2c/….
-
应用在 B2C 是不同的。要获得图形 API 访问权限,需要通过 AAD 应用注册面板注册应用。授予这些应用程序的权限适用于目录/租户。例如,这包括用户。
-
好的,谢谢。这就是我的想法。我希望有一个选项可以进行更细粒度的控制,以便为 B2C 租户中的用户启用 CRUD,而不是在目录级别,因为我不相信我们将能够在目录级别获得这些权限,这也被用作我们的公司广告。
-
是的,租户中的用户都在一个大集合中。无论您转到 AAD 管理刀片或 B2C 管理中的“用户”选项卡,您都会看到相同的用户。