【发布时间】:2021-07-12 01:47:54
【问题描述】:
我已经使用 PKCE 实现了 Azure B2C 身份验证解决方案,但现在想将其连接到类似于 MS Identity Server 模型中角色的授权服务。
您需要“推出自己的”解决方案吗?例如;一旦用户通过身份验证,我需要确定他们是否具有管理员权限、读/写或只读访问权限。范围不支持这种粒度级别。
【问题讨论】:
标签: authentication authorization azure-ad-b2c
【发布时间】:2021-07-12 01:47:54
【问题描述】:
是的。我们需要推出自己的解决方案。
没有可获取组/目录角色信息的开箱即用 AAD B2C 解决方案。
我们可以通过自定义 (IEF) 策略使用自定义代码在 B2C 中获取组声明。我们可以利用REST API claims Integration 和Microsoft Graph。将新的声明类型“组”添加到自定义策略中并调用 Microsoft Graph 以获取用户组。这是一个example 供您参考。
如果你使用的是用户流,可以考虑custom attribute。例如,创建一个名为 AADRole 的自定义属性。将真实的 AAD 角色作为值分配给不同的用户,然后在 B2C 用户登录后从 id 令牌中获取声明。有关详细信息,请参阅此answer。
【讨论】:
-
很抱歉,还没有 - 已经被其他优先事项敲定了。会尽快回复