Azure Active Directory 和多租户应用授权

【问题标题】:Azure Active Directory and Multi-tenant apps authorizationAzure Active Directory 和多租户应用授权
【发布时间】:2017-10-10 22:02:02
【问题描述】:

在 AAD 中注册应用程序后,似乎无法在 Azure 门户中管理租户访问控制。

根据我所阅读的内容,允许或拒绝特定租户的负担落在应用程序代码中的开发人员身上。所有用户。默认情况下,来自任何 AAD 域的用户都可以访问已注册的应用程序(在授予权限之后)..

如果是这样的话,那就是一个糟糕的模型。这意味着“allowed-tenants”表可能会增长到数百万条记录,并且每次用户登录时,查询都需要根据该表检查他的 tennantID。

【问题讨论】:

    标签: azure-active-directory multi-tenant


    【解决方案1】:

    AFAIK,目前没有这样的功能为多租户应用程序制作允许/拒绝列表。我们可以在应用程序中控制,通过检查 JWT 令牌中的 tid 声明,您可以创建一个拒绝列表(记录将少于允许列表)并检查 tid 是否在拒绝列表中。而here 是需要相同功能的反馈。

    【讨论】:

    • 拒绝列表没有意义,因为默认情况下都允许。该列表将是无限的
    • 实际上,我们在必须允许两个租户之一登录的应用程序中所做的是,我们检查 tid 声明是否是其中之一。如果没有,则将用户发送到错误页面。在应用端实现并不难。
    猜你喜欢
    • 2018-03-08
    • 1970-01-01
    • 2016-08-04
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2022-11-05
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode