我们希望使用基于声明的身份验证创建MVC Web应用程序,期望将角色作为其中一项声明。我们希望使用Azure访问控制服务联合身份验证提供程序来管理此联合。其中一个身份验证提供程序是我们的Azure AD。
问题是Azure AD似乎无法生成角色(甚至群组)声明。在Azure AD中管理组或角色访问以及由Azure Access Control Service提供角色声明的适当方法是什么。
感谢。
修改:
之前的评论要求提供详细信息:我们希望使用其活动目录向第三方提供对我们的云应用程序的访问权限(以简化用户管理)。我们的应用程序可以访问第三方可以配置的信息。我们希望他们能够在他们的AD中做到这一点(根据我们的指示)。群体似乎是显而易见的选择,但如果有另一种方式可行,只要我们能提供指示,它就会起作用。
我们希望我们的应用程序获得用户访问级别的声明。如果我们只有一个使用Azure AD的合作伙伴,我们可以针对该端点使用图形API,但随着时间的推移,多个合作伙伴会发生变化,我们希望联合它们,以便我们的应用程序只需要信任联合服务器。我们假设我们需要Azure ACS来管理联合。
答案 0 :(得分:1)
AAD确实支持角色/组,您可以从Azure门户管理它们。
但是,这些并没有通过"罐装"一套索赔。
您需要使用图谱API,然后转换它们,例如Windows Azure Active Directory: Converting group memberships to role claims
<强>更新
ACS需要联合的东西。您无法将客户AD挂钩到ACS - 您需要AD AD之上的ADFS。
我假设您的云应用。在Azure中运行?
然后制作你的应用。多租户。如果您的客户拥有自己的Azure租户,则可以使用。您只需将Graph API代码添加到您的应用程序即可。不需要ACS。
然后您的客户运行DirSync。这使Azure租户保持同步。随着AD的变化。
所以有两个选择:
客户没有Azure租户。他们安装ADFS并与AAD联合。
拥有Azure租户的客户使用DirSync。
答案 1 :(得分:1)
好消息:我们最近在Azure AD中启用了应用程序角色和组声明功能。
深度帖子和应用角色视频功能在这里:http://www.dushyantgill.com/blog/2014/12/10/roles-based-access-control-in-cloud-applications-using-azure-ad/
深度帖子和应用角色视频功能在这里:http://www.dushyantgill.com/blog/2014/12/10/authorization-cloud-applications-using-ad-groups/
希望有所帮助。
答案 2 :(得分:0)
群组不是最佳选择,因为它们在每个目录中都是唯一的。除非您让客户定义一组具有已知名称并且与字符串匹配的组,即(即使它们具有相同的名称,组的对象ID在每个目录中也是不同的)。我实际上来自Azure AD团队,我们正在认真考虑发布一项功能,允许您在应用中定义客户可以分配用户的角色。请继续关注此事。与此同时,不幸的是团体是唯一的出路。您必须致电&#34; GetMemberGroups&#34;使用图表检索用户被分配到的组。
您发布此应用程序的时间表是什么?您可以直接与我联系,看看我们是否可以使用您的方案。