В моей компании в настоящее время мы оцениваем сценарий, позволяющий использовать многоблачный сервис единого входа на основе Keycloak. Он работает довольно хорошо, и в настоящее время мы хотим включить облако Azure в эту систему. Нам удалось следовать инструкциям здесь https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-saml-idp (хотя нам пришлось адаптировать некоторые шаги в качестве документация кажется ошибочной, особенно когда дело доходит до используемых команд оболочки). Нам удалось разрешить вход пользователей в Azure AD, интегрированный через Keycloak IDP.
Вопрос в том, как лучше предоставить учетные записи / подписки этим пользователям? Нам понадобится автоматический (в лучшем случае API REST) способ создания этих учетных записей и подписок в Azure. Нам понадобится:
- Создавайте подписки программно
- Создание пользователей Azure AD программно
- Назначьте этих пользователей созданным подпискам
Правильно ли нам иметь корпоративную регистрацию для программного создания подписок в Azure? (https://azure.microsoft.com/en-us/blog/programmatics-create-enterprise-subscription-preview/) Это то же самое, что и поставщик облачных решений? (поскольку в документации есть претензии, эти API могут создавать подписки: https://docs.microsoft.com/en-us/azure/cloud-solution-provider/overview/azure-csp-overview).
Для создания пользователя мы решили использовать API Azure.
Это в целом правильно или есть другие, более эффективные способы архивирования того, что мы запланировали с помощью Azure?