程序Azure AD应用程序发现

Question

我有一个服务，将注册在Azure广告作为一个应用程序。它将有一个应用程序注册每个地区(美国西部，东美国等)。调用此服务的客户端需要获取访问令牌。访问令牌的受众必须是该区域的相应服务。所述服务按区域隔离，以使一个区域中的服务的访问令牌不能用于访问另一个区域中的服务。这是故意的。

对于应用程序的发现是否有适当的方法/推荐的最佳实践？

我已经探讨了使用Graph的想法。在模型中：

1. 每个注册服务都将使用模板化的命名约定(如- )创建。这里有一个问题，如果在注册这些应用程序的租户内部没有适当的协调，我们可能会以名称冲突告终。
2. 一个“发现应用程序”(注册的应用程序仅用于发现的用途)将具有Application.Read权限，图形API。这里的身份验证将基于X509证书，以提高安全性。
3. 使用在发现应用程序中获得的访问令牌，客户端将查询Graph，以获得与名称匹配的预期服务应用程序受众。一旦该应用程序信息被获得，我们将有服务应用程序id。同样，上面第一条的担忧依然存在--另一个以同样名字注册的应用程序也会被找到。
4. 然后，客户端将使用获取的服务应用程序id来获取访问令牌，以便与服务对话。

如有任何帮助/指导，将不胜感激。想要确保我没有再发明车轮，如果已经有一个适当的模式这样做。

Answer 1

你的设计是可行的。当然，您需要对应用程序注册的名称进行合理的调整，以消除名称冲突的影响。

我有一个建议，您可以将这些服务应用程序注册添加到一个安全组中，并使用MicrosoftGraph(Beta版本)使用过滤器(模板化命名约定)列出它们。

参考这里

GET https://graph.microsoft.com/beta/groups/{id}/members?$count=true&$filter=startswith(displayName, 'a')
ConsistencyLevel: eventual

请注意，$count=true和请求头ConsistencyLevel: eventual是必要的。

响应中有一个属性appId，这就是您所需要的。这样，就可以尽可能地避免名字冲突的影响。