【发布时间】:2018-08-24 17:37:49
【问题描述】:
我正在开发一个 ASP.NET MVC 应用程序并使用 Azure AD 进行单点登录。我正在研究如何处理用户角色以进行授权。我知道我可以从 Azure 门户内部创建角色或组,但我所阅读的所有内容似乎都表明,向这些组或角色添加或删除人员的唯一方法是从门户内部。但是我们不希望处于我们的开发人员组正在处理此应用程序用户的角色/权限分配的情况。
我真正想要的是应用程序中的某种界面,管理员可以在其中选择 AD 用户,选择应用程序的一个(或多个)角色,并将用户添加到这些角色中。
有没有办法从 Azure AD 中提取可用应用程序角色的列表,然后发回应该将哪些角色附加到用户?我看到的大多数文档似乎都假设您有一个通过门户管理的预定义用户列表。
我应该在 ASP.NET Identity 中使用单独的表吗?我曾希望 Azure AD 集成可以让我跳过数据库用户存储。
【问题讨论】:
-
您可以调用 Microsoft Graph API(或 Azure AD Graph API)。在较高级别上,您的应用程序需要执行以下操作来分配角色:获取由 Application 对象定义的角色,获取应用程序的相应服务主体,然后为您要添加的每个用户 + 角色组合创建一个 appRoleAssignment,引用用户的对象 ID、角色的 ID 和服务主体的对象 ID。
标签: c# asp.net-mvc azure azure-active-directory