多实例应用程序和Azure身份验证最佳实践

我们有一个多实例Saas应用程序：

• 我们的每个客户都有自己的实例和自己的站点子域
• 我们的应用程序(Web应用程序和API)受Azure保护，目前具有ADAL javascript库
• 我们还有第二个API用于需要保护的系统级集成，目前使用第二个"原生"azure应用程序，但这可能不正确，我们希望整合
• 我们的应用程序通过AzureAD Graph API和Microsoft Graph API读取和写入Azure AD(包括密码重置调用)

我们正在研究Azure AD应用程序配置选项，并希望确保我们正在构建最明智、最安全的Azure AD应用。以下是我们一直在查看的一些文档：

https://learn.microsoft.com/en-us/azure/active-directory/develop/active-directory-integrating-applications

https://learn.microsoft.com/en-us/azure/active-directory/develop/active-directory-v2-protocols-oauth-client-creds

https://learn.microsoft.com/en-us/azure/architecture/multitenant-identity/

https://learn.microsoft.com/en-us/azure/active-directory/develop/active-directory-v2-compare

我们希望该应用程序是多租户的，以简化配置，并允许在Gallery中使用；但在考虑这样做时，我们会遇到一些安全问题。

A。使用哪个应用程序版本

• 1)v1。允许同时访问Graph API。正如微软建议的那样，当我们不关心微软账户时，我们应该使用它
• 2) v2。查看MS Graph API文档时，建议使用v2。据说不适用于AzureAD Graph API？允许同一应用程序具有多种类型(Web应用程序/API和本机)，我们可能需要也可能不需要保护我们的Web API和系统API(我们仍在尝试对其进行建模)

B。当我们的客户有不同的子域时，如何管理回复URL

我注意到以下选项：

• 1)在应用程序注册表中，我们为所有客户添加回复URL。这似乎还可以，因为我们只需要做一次，但感觉很奇怪。回复url的数量有限制吗
• 2) 有一个回复url，但管理一个外部工具，利用state url参数将响应路由到正确的实例。微软似乎在这个链接中建议：https://learn.microsoft.com/en-us/azure/architecture/multitenant-identity/authenticate我不确定ADAL是否允许我们设置返回子域url的状态。这种方法常见吗
• 3) 我们客户目录中的每个ServiceProvider实例是否可以将回复url配置为自己的子域？我觉得这将是最干净的方法，但我没有看到它的文档。如果我们也可以通过编程设置replyURL，那就太好了

C。如何管理对Graph API(AzureAD和Microsoft Graph)的授权

我注意到以下选项：

• 1)使用客户端凭据流，使用单个应用程序密钥(用于所有客户端)。当客户订阅时，他们将管理员同意我们的应用程序授予应用程序对其目录的权限。当然，我们会尽最大努力保护那把钥匙的安全。但如果出于某种原因，它被泄露了，这将使我们所有的客户都面临风险，而不仅仅是一个被泄露的例子
• 2) 与1相同，但使用证书而不是密钥。我知道这可能会更安全一点，但我不知道它怎么会不会遇到与1相同的问题
• 3) 不要使用应用程序权限，而是与管理员用户一起使用委派权限。这将是好的，因为它从本质上防止了我们应用程序的一个实例与错误的目录对话。但是，管理员的更改可能会中断服务；我认为最好的审计方式是让我们的应用程序对它所做的更改负责。(此外，委派权限允许重新设置密码吗？我知道对于应用程序权限，您需要运行powershell脚本来升级应用程序的目录角色)
• 4) 服务主体有没有办法在创建时为其目录生成一个唯一的密钥？这能以编程方式返回给我们的应用程序吗？也许是在管理员同意期间

https://*.product.com