Похоже, что Azure Key Vault не поддерживает политики доступа, назначенные группам; только те, которые назначены пользователям или принципалам обслуживания. Он также поддерживает максимум 10 политик доступа для каждого хранилища ключей, что означает, что я не могу назначить всех людей, которым я хочу иметь доступ индивидуально.
Я не хочу передавать секреты клиента всем разработчикам. В случае развернутого приложения передача единственного секрета клиента, чтобы код мог пройти аутентификацию в качестве принципала службы, а затем получить секреты, - это нормально.
Разработчики проходят аутентификацию в AAD через NTLM / Kerberos (через ADFS), чтобы получить токен доступа (не через секрет клиента). Получив этот токен доступа, они должны иметь возможность доступа к защищенным формам всех других секретов, необходимых для запуска нашего приложения (точно так же, как это делает производственный код при аутентификации в качестве принципала службы).
Как я могу этого добиться?