Здравствуйте, mogadanez, Вы писали:
M>Многие не хотят давать нам доступ ко всей AD, а как в Enterprise App назначить нашему приложению группы/пользователей.
Вы уверены, что вам нужен именно доступ к ихнему AD?
К вам приходит авторизованный пользователь. Он предъявляет токен, в этом токене записано, какой AD домен его авторизовал и какую роль в том домене он имеет. Например, он добавлен в нужную группу и вы эту группу увидите в токене авторизации. Обычно этой информации достаточно.
Вам нужно на своей стороне решить, что с этим пользователем дальше делать. Некоторые сторонние сервисы авторизации позволяют настроить прозрачную трансляцию групп в клиентских доменах на группы в вашем домене (типа домен "Рога И Копыта", группа "Отдел Продаж" соответствует вашей внутренней группе "Продвинутые Пользователи"). В Azure раньше этого не было и если не добавили, то эту трансляцию можно делать самому, состряпав простую базу данных.
M>Куда почитать? в идеале заиспользовать ровно тоже приложение что используется для SSO
В целом, то, что вы описываете, называется Federated Identity.
https://docs.microsoft.com/en-us/azure/architecture/patterns/federated-identity
https://docs.microsoft.com/en-us/azure/architecture/multitenant-identity/
Здравствуйте, Artem Korneev, Вы писали:
AK>Вы уверены, что вам нужен именно доступ к ихнему AD?
AK>К вам приходит авторизованный пользователь. Он предъявляет токен, в этом токене записано, какой AD домен его авторизовал и какую роль в том домене он имеет. Например, он добавлен в нужную группу и вы эту группу увидите в токене авторизации. Обычно этой информации достаточно.
нам нужно уметь рассылать им письма/инвайты до того как оин первый раз войдут
те их менеджер входит к нам, видит группы из AD, выбирает нужную и запускает на ней campaingn. мы получаем список пользователей из группы и рассылаем им инвайты
AK>В целом, то, что вы описываете, называется Federated Identity.
еще нашел вот SCIM:
https://docs.microsoft.com/en-us/azure/active-directory/app-provisioning/use-scim-to-provision-users-and-groups
Вроде как Azure будет сам пушить к нам назначенных пользователей и группы, и запаковать можно с SSO в одно enterprise приложение