我编写了一个托管在Open Shift 上的Python 应用程序。
用户登录应用程序后,他的权限取决于他在Azure Active Directory 中的组成员身份。
如何通过我的应用程序验证用户是否属于Azure Active Directory 中的组?
【问题讨论】:
您可以根据您的场景从您的应用程序中调用以下 Microsoft Graph API -
如果您已经知道要检查/验证成员资格的组,这将很有帮助。
POST https://graph.microsoft.com/v1.0/users/{id | userPrincipalName}/checkMemberGroups
在请求正文中,您可以提供groupdIds,即包含要检查成员资格的组的对象 ID 的集合。最多可以指定 20 个组。
{
"groupIds": [
"fee2c45b-915a-4a64b130f4eb9e75525e",
"4fe90ae065a-478b9400e0a0e1cbd540"
]
}
如果您还不知道该组并想获取该用户所属的所有组,这将很有帮助。
POST https://graph.microsoft.com/v1.0/users/{id | userPrincipalName}/getMemberGroups
您还可以通过编辑应用程序的清单(这可以直接在 Azure 门户中完成)并将 "groupMembershipClaims" 属性设置为 "All" 或 "SecurityGroup" 来启用组声明作为应用程序访问令牌的一部分如所须。
虽然 groupMemembershipClaims 有一个问题,但该令牌并不总是随用户所属的所有组一起提供。如果用户是太多组的成员(AFAIK 是 6 个或更多),您只会收到像 hasGroups 这样的超龄指标声明,告诉您用户是许多组的一部分,您应该调用 graph api 来获取列表所有组。这就是我强调相关 Microsoft Graph API 的原因。
这是一个基于组声明进行授权的示例应用程序。它使用 .NET 4.5 MVC、C#,但概念相同 -
Authorization in a web app using Azure AD groups & group claims
这是另一个SO Post,其中讨论了类似的要求。它还提到考虑应用程序角色来做出授权决定,因为在某些情况下这可能更合适。
【讨论】: