Блог

Я пытаюсь переместить службу управления API Azure с tenantA на tenantB, чтобы предоставить третьим сторонам возможность подключения, были созданы две регистрации приложений. Регистрация приложения A разрешена для подключения к API. Регистрации приложения B разрешено подключаться к регистрации приложения A и используется третьим партнером для подключения к API.

Вопрос: Возможно ли переместить службу управления API в tenantB и сохранить регистрацию приложений в tenantA. Таким образом, существующая регистрация приложения (A) в tenantA должна быть разрешена для подключения к api в tenantB

Обновить

Прочитав еще немного, я перешел к многопользовательским приложениям. Можно ли подключить приложение из tenantA к приложению из tenantB (которому разрешено подключаться к API)? И если да, можно ли ограничить доступ (не с помощью кода)?

К сожалению, невозможно перенести регистрации приложений Azure AD с одного клиента Azure AD на другой клиент Azure AD. Необходимо заново зарегистрировать приложения Azure AD в новом клиенте Azure AD и сопоставить все роли и разрешения с новой регистрацией приложения.

Объяснение: Регистрация приложений Azure AD определяется его единственным объектом application, который находится в клиенте Azure AD, где было зарегистрировано приложение (известном как «домашний» клиент приложения).

https://docs.microsoft.com/en-us/azure/active-directory/develop/app-objects-and-service-principals

https://docs.microsoft.com/en-us/azure/role-based-access-control/transfer-subscription#understand-the-impact-of-transferring-a-subscription

В качестве рабочего решения перемещение ресурсов от одного клиента к другому и сохранение старого клиента в качестве поставщика ресурсов сделали свое дело. (по крайней мере, для перемещения ресурсов).

Старый клиент по-прежнему используется в качестве поставщика аутентификации. Чтобы избавиться, если потребуется другой способ аутентификации (новая подписка или сторонняя организация).