广告应用程序注册还是企业应用程序使用图形api查询第三方azure AD？

Question

在我们的应用程序中，作为客户登录过程的一部分，需要使用图形api查询和导入第三方azure AD资源，比如他们的用户/组。为了实现这一目标，建议采用以下哪一种方法&为什么？

1. 创建'AD应用程序注册‘在我的公司azure AD &与第三方分享它，以获得他们的全球行政许可？我的AD应用程序将在第三方AD中被列在“企业应用程序”下&我们的应用程序将在通过图形api连接和查询第三方AD资源(如用户/组)时使用我公司'AD应用程序‘的客户凭证。 (或)
2. 请第三方在他们的蓝色广告中创建AD应用程序注册&与我们共享他们的AD应用程序客户证书？其中第三方共享客户端凭据将由我们的应用程序配置和使用，同时通过图形api连接和查询第三方AD资源(如其用户/组)。

Answer 1

我会采用第一种方法。另外，您还没有明确提到它，但是您需要将您的应用程序注册为多租户。

原因

1. 多租户v/s重复自定义方式 您已经描述的选项1是常规的多租户模式。它通常与SaaS应用程序一起使用，而同意框架正是用于此目的的。 一个例子场景-假设明天您的应用程序变得流行，您希望为100个客户而不是仅仅一个客户这样做。选项1(或多租户应用程序)将继续以同样的方式工作，但在选项2中，您必须考虑100个不同的应用程序和100个不同的客户，以说服他们与您共享客户凭证(这似乎是错误的)。 现在，如果您的应用程序发生了任何变化(假设您还需要一个权限，并且需要更新您的应用程序所需的权限)，那么您必须在选项2中更改100个不同的应用程序注册，并在下一个更改中继续更改这些注册(某种程度上保持这些注册保持同步)。在选项1中，您只需更改单个应用程序注册。你只需要征得你的同意。
2. 对应用程序的所有权 从您的描述来看，您/您的公司正在开发此应用程序，因此拥有它。应用程序所有者可以做什么的一些实际示例。我已经给出了一个示例，其中应用程序所需的权限可能会发生变化。另一个可能是，如果您使用应用程序密钥(机密)，您的责任应该是能够旋转/管理这些密钥，或者在需要时根据需要更改它们，或者说从使用秘密更改为证书。比方说，只需更新与应用程序相关的徽标即可。基本思想是，您/您的公司拥有选项1中的应用程序，因此您将能够控制和更改以及负责它。