用于访问 Azure 服务的临时安全凭据答案

【问题标题】：Temporary Security Credentials to access Azure Services用于访问 Azure 服务的临时安全凭据
【发布时间】：2015-12-30 15:59:15
【问题描述】：

我正在 Azure 中寻找类似于 AWS Security Token Service (STS) Temporary Security Credentials 的功能，以允许联合用户访问 Azure 服务。我们在我们的应用程序中支持多个身份提供者（Amazon 帐户、Microsoft 帐户、LinkedIn、Google、Facebook、Github 和 Twitter）。我们计划在未来增加对更多身份提供者的支持。

一旦用户使用这些身份提供者之一登录，我们希望允许代表这些用户访问各种 Azure 服务。 AWS 可以选择代表居住在外部身份提供商 (IDP) 中的联合用户提供临时访问令牌。

Azure AD 是否有任何类似的功能，它基于现有令牌（来自外部 IDP）生成令牌并允许访问 Azure 服务？

谢谢高拉夫

【问题讨论】：

标签： azure active-directory acs azure-ad-graph-api azure-ad-b2c

【解决方案1】：

我不确定它是否完全满足您的需求，但请查看Azure Role-based Access Control。

【讨论】：

感谢@Bluesky 的回复。我的要求是能够使用社交身份提供程序对我的应用程序进行身份验证，并代表我的登录用户调用 Azure API。这是在 AWS 中使用他们的 Secure Token Service 提供的，如我的问题中提到的链接中所述。我在 Azure 中寻找类似的功能。
Azure 见解，Azure 使用/费率卡 API 开始。但一般来说，它可以是 Azure 资源管理器公开的任何 Azure API。
仍然不清楚场景。使用身份提供者登录的最终用户是否拥有自己的 Azure 订阅，并且他们正在授予您的应用访问他们自己的订阅的权限？
场景如下。 a) 我的应用程序允许用户使用各种身份提供程序（Google/Facebook/LinkedIn 等）登录 b) 这些用户将调用 Azure API，我需要代表这些登录用户调用这些 API。 c) 由于这些用户在 Azure 订阅中可能没有实际帐户，因此我需要代表这些受信任的用户从 Azure 获取访问令牌。 d) AWS 为第三方受信任的用户访问 AWS 控制台提供了相同的功能和场景。我正在 Azure 中寻找类似的支持
我正在寻找 AWS AssumeRole API (docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 的等效项