作为“新客户入职流程”的一部分,我们将使用Azure AD Graph API开发自定义应用程序,以便在我们的应用程序的数据存储中同步第三方租户活动目录用户和组数据。
我们正处于调查阶段
什么azure容器最适合将自定义业务逻辑保持在要求之上?
这是一个相当广泛的问题,我无法肯定地回答。但Web作业或持久功能可以工作。
连接和查询第三方租户需要什么身份验证?
如果这与开始使用您的应用程序的任何租户一样,那么您将在AAD中注册多租户应用程序并要求应用程序权限从Microsoft Graph API读取所有用户的基本/完整信息。然后,您需要向第三方租户管理员提供一项功能,以同意这些权限。这意味着您需要将其重定向到登录您的应用,届时他们将被要求获得权限。仅仅是同意的主题有点复杂,文档在这里:https://docs.microsoft.com/en-us/azure/active-directory/develop/consent-framework。
然后,您的应用可以在后台使用客户端凭据身份验证来获取MS Graph API的访问令牌,并执行同步/注册更改通知。
Azure AD Graph API或LDAP查询是否有效/最适合?
两者都不使用Microsoft Graph API。
第三方租户活动目录中的任何用户或组数据更改将如何通知我的自定义应用程序以同步我们的应用程序的数据存储?
您可以获得更改通知:https://docs.microsoft.com/en-us/graph/api/resources/webhooks?view=graph-rest-1.0。但是你可能还需要进行完全同步,这样一切都可以防止你错过一些更新。最简单的解决方案就是按计划运行的完全同步。它不是快速或有效但它非常可靠。