我有一个在Visual Studio 2013中创建的MVC5网站。它从一开始就设置为使用单租户单点登录进行组织身份验证。如果没有使用具有正确域的帐户登录,则无法访问站点的任何部分。这是所需的功能。
但是,我希望使用Azure Active Directory添加基于角色的身份验证。所需的功能是某些组中的某些用户可以看到某些页面,而其他组中的人可以看到不同的页面等。这似乎是最相关/更新的教程https://github.com/AzureADSamples/WebApp-GraphAPI-DotNet。但由于我已经使用WS-Federation登录组织帐户,我是否真的必须使用教程中所述的OpenID类型身份验证?一旦我已经登录,似乎应该有一种简单的方法来获取角色。我知道我可能必须在某种意义上使用Graph API,但我不知道如何。请指教。
答案 0 :(得分:0)
登录时,当用户使用SSO令牌到达您的应用程序时 - 您的应用程序可以查询目录Graph API以确定用户组成员身份。根据组成员身份,您可以直接向用户授予权限,也可以将组成员身份映射到"角色"在你的申请中。
我们有一个主题可以更详细地解释这一点,并使用示例应用程序(使用WSFed)使用Azure AD组成员身份执行基于角色的授权:http://msdn.microsoft.com/en-us/library/azure/dn195601.aspx
享受: - )