アプリケーションの役割マルチテナントAzureのSaasアプリケーション

Question

新しいプロジェクトでは、Azureの機能を試しています。 pocの場合、openidconnectとAzureアクティブディレクトリを使用して認証を行うアプリケーションを作成しました。アプリケーションはマルチテナントです。

今のところオープン認証を設定することができました。また、アプリケーションマニフェストに3つのアプリケーションロールを追加しました。

今、Azureのアクティブディレクトリにテナントでログインします。そして、私はこれらのアプリケーションの役割を自分自身に割り当てることができました。アプリケーションをチェックするときに、別のテナントからの私のユーザーの新しい割り当てられた役割をリストすることもできます。

私はテナント固有のロールを作成したいのですが（ポータル経由で、可能であればコード経由で（OpenGraph？、ADClient？））どうすればいいですか？

コードを使用してテナントごとにアプリケーションロールとカスタム作成されたロールを追加するにはどうすればよいですか？

Answer 1

Azure ADアプリケーションロール&ロールクレームはアプリケーションに基づいています。アプリケーションのロールのみを作成でき、このアプリケーションを使用するすべてのテナントは、アプリケーションのマニフェストで定義されたロールを使用します。テナント固有の役割を作成することはできません。

このシナリオに基づいて、グループはテナントに基づいているため、グループクレームを使用してアプリケーションの認可を検討することがあります。認可hereのAzure ADグループに関するコードサンプルを参照できます。

Azure Graph APIを使用してグループとユーザーを管理できます。詳細はhereを参照してください。

注

グループメンバーをグループを作成し、更新するには、アプリが許可Group.ReadWrite.All、User.ReadBasicまたはUser.Read.Allが必要です。したがって、アプリケーションには、Group.ReadWrite.All権限への管理者の同意が必要です。