我在使用Azure Active Directory保护的几个国家中部署了一个单个应用程序。我有一个要求,人们只能访问其国家的申请。实现这一目标的最佳方法是什么:
每个国家/地区的Azure AD应用程序
每个国家/地区创建一个新的Azure AD应用程序,并在每个国家使用其各自的客户ID。这确实增加了我必须处理的配置的数量。
每个国家/地区
我已经在使用基于角色的访问安全性(RBAC(。我可以为每个国家创建一个角色,例如肯尼亚,然后具有肯尼亚申请的实例需要肯尼亚角色。
Azure AD多偏用部署
每个国家不是一个单独的组织,而是一家公司,因此我不确定使用Azure AD多租户适用于我的用例。
每个国家都有多个角色。您可以将这些国家角色分配给AAD组(如果使用允许的许可证(,并且通过这也允许将来访问多个实例的可能性。当然,如果您真的确定这不是必需的,那么您可以直接将用户分配给角色。管理工作量要小得多,以至于我要做的。当然,唯一的事情是您必须将所有实例的所有回复URL添加到一个应用程序中,而不是多个应用程序中的一个。
基于角色的方法的一个缺点是,在应用程序中扮演其他角色变得有些困难,例如如果您想担任肯尼亚管理员的角色。
每个国家/地区创建一个应用程序似乎有些过大,但这将具有一些优势。首先,如果需要,可以将用户分配给多个应用程序,以访问多个国家(并且没有AAD的付费许可(。应用程序创建可以使用脚本自动化。您必须对每个部署必须拥有的主要配置是客户端ID和秘密。但是一个主要的缺点是,如果您需要例如向API添加权限,您必须将其添加到每个应用程序中,然后在每个应用程序上同意。
多租户将意味着,除了拥有不同的客户ID和秘密外,还必须将您的用户添加到不同的Azure广告中。隔离将是很棒的,但这绝对会造成最高数量的行政工作。