Azure AD 用户管理委派
Azure AD User management delegation
我正在使用 Azure AD 为位于 Azure AD 之外(内部托管)的应用程序创建用户和组
我希望能够将用户管理委托给该应用程序的管理员(创建用户、分配组等)
我可以看到,在高级 Azure AD 订阅中,您可以创建有权访问 WAAD 访问面板 (myapps.microsoft.com) 的 AD 用户,他们可以看到组,您可以将用户分配给组,并且 view/action 批准请求
但是看起来没有任何方法可以通过这个奇怪的界面创建用户。如果用户具有 "User Management" 角色,它似乎应该存在。
是否有任何其他方法可以向应用程序管理员提供基本级别的用户管理委派?
我能看到的唯一其他方式是让用户管理员创建全新的 Azure 订阅(但属于同一租户)并通过管理门户 - 这并不理想,因为他们可以访问其他 Azure 资源(创建实例、数据库等)。我只需要admin就可以访问AD
的用户管理
我知道我可以创建另一个应用程序并使用 Graph API 但是如果 Azure AD 已经有这样的东西,这可能是在重新发明轮子。
您可以使用 Azure AD Graph API 在当前设置下实现您的目标。
使用 Azure AD Graph API Client library 作为基础并在您的应用程序中创建一个本地区域,您的应用程序的给定管理员用户可以通过图形 API 在 Azure AD 中管理用户和组。
how to use Graph API with .NET on the GitHub sample pages for AD上有一个很好的样本。
我正在使用 Azure AD 为位于 Azure AD 之外(内部托管)的应用程序创建用户和组
我希望能够将用户管理委托给该应用程序的管理员(创建用户、分配组等)
我可以看到,在高级 Azure AD 订阅中,您可以创建有权访问 WAAD 访问面板 (myapps.microsoft.com) 的 AD 用户,他们可以看到组,您可以将用户分配给组,并且 view/action 批准请求
但是看起来没有任何方法可以通过这个奇怪的界面创建用户。如果用户具有 "User Management" 角色,它似乎应该存在。
是否有任何其他方法可以向应用程序管理员提供基本级别的用户管理委派?
我能看到的唯一其他方式是让用户管理员创建全新的 Azure 订阅(但属于同一租户)并通过管理门户 - 这并不理想,因为他们可以访问其他 Azure 资源(创建实例、数据库等)。我只需要admin就可以访问AD
的用户管理我知道我可以创建另一个应用程序并使用 Graph API 但是如果 Azure AD 已经有这样的东西,这可能是在重新发明轮子。
您可以使用 Azure AD Graph API 在当前设置下实现您的目标。
使用 Azure AD Graph API Client library 作为基础并在您的应用程序中创建一个本地区域,您的应用程序的给定管理员用户可以通过图形 API 在 Azure AD 中管理用户和组。
how to use Graph API with .NET on the GitHub sample pages for AD上有一个很好的样本。