Azure: как выполнять внешнюю федерацию и управлять входами, учетными записями и подписками

В моей компании в настоящее время мы оцениваем сценарий, позволяющий использовать многоблачный сервис единого входа на основе Keycloak. Он работает довольно хорошо, и в настоящее время мы хотим включить облако Azure в эту систему. Нам удалось выполнить инструкции здесь https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-saml-idp (хотя нам пришлось адаптировать некоторые шаги в качестве документация кажется ошибочной, особенно когда дело доходит до используемых команд оболочки). Нам удалось разрешить вход пользователей в Azure AD, интегрированный через Keycloak IDP.

Вопрос в том, как лучше предоставить учетные записи / подписки этим пользователям? Нам понадобится автоматический (в лучшем случае API REST) ​​способ создания этих учетных записей и подписок в Azure. Нам понадобится:

• Создавайте подписки программно
• Создавайте пользователей Azure AD программно
• Назначьте этих пользователей созданным подпискам

Правильно ли нам иметь корпоративную регистрацию для программного создания подписок в Azure? ( https://azure.microsoft.com/en-us/blog/programmatically-create-enterprise-subscriptions-preview/) Это то же самое, что и поставщик облачных решений? (as there are claims in the docs these API is able to create subscriptions: https://docs.microsoft.com/en-us/azure/cloud-solution-provider/overview/azure-csp-overview)

For the user creation we figured we can use the Azure API.

Is this in general correct or are there others, better ways to archive what we have planned with Azure?