#azure #active-directory #azure-active-directory #azure-ad-b2c
#azure #active-directory #azure-active-directory #azure-ad-b2c
Вопрос:
Рассмотрим следующий пример для моего приложения:
- У меня есть веб-сайт
- Веб-сайт размещается поверх API Azure и получает данные из cosmos DB
- Данные из cosmos DB специфичны для разных организаций
- Разные организации должны иметь возможность назначать «администратора», назначенного мной
- «Администратор» организации должен иметь возможность добавлять своих коллег из той же организации
- Пользователи в определенной организации должны иметь возможность просматривать только данные, относящиеся к их организации
Учитывая приведенный выше вариант использования, я подумал об использовании Azure B2C, потому что:
- Все уже внутри Azure
- Я не хочу заниматься безопасностью самостоятельно
Однако я не уверен, действительно ли это возможно с помощью Azure B2C? Похоже, я не могу найти какие-либо похожие варианты использования в документации AD. Следовательно, почему я начинаю думать, что я иду в неправильном направлении …?
Поэтому может ли Azure AD B2C предложить то, чего я хочу достичь? (нужен ли мне клиент для каждой организации) В случае, если Azure AD не предлагает поддержку для моего варианта использования, что бы вы порекомендовали мне сделать?
Ответ №1:
Служба Azure AD B2C с белой меткой не может использоваться в качестве встроенного поставщика безопасности для других служб Azure без написания пользовательского кода для преобразования любой модели авторизации, поддерживаемой в Azure AD B2C, в шаблоны доступа для CosmosDB или других служб Azure.
CosmosDB имеет собственное встроенное представление о пользователях и разрешениях, которые вы можете каким-то образом (используя пользовательский код) сопоставить пользователям Azure AD B2C. https://learn.microsoft.com/en-us/azure/cosmos-db/secure-access-to-data#users
Вы также можете использовать интеграцию CosmosDB с Azure AD (не B2C) для элементов управления RBAC: https://learn.microsoft.com/en-us/azure/cosmos-db/role-based-access-control
Наконец, Azure AD B2C не предоставляет никаких готовых административных инструментов для описанной вами модели делегированного администрирования пользователей. Опять же, это должен быть пользовательский пользовательский интерфейс администратора, или вам нужно будет использовать стороннее решение, такое как Saviynt для делегированного администрирования: https://learn.microsoft.com/en-us/azure/active-directory-b2c/partner-saviynt