Note: Everything below is done from old Azure management portal. New portal I am not sure if it supports Roles, Azure AD etc.
我在Azure AD目录“Directory1”中有一个应用程序。配置应用程序(我修改了它的清单)以使用角色(RoleA,RoleB)并为多租户启用。
Directory1有2个用户
UserA是在Directory1本身和
中创建的 来自Directory2的UserB。
现在,我已将RoleA和RoleB的RoleA分配给RoleB,作为应用程序源的Directory1中的应用程序。
当UserB尝试通过以UserB@Directory2.onmicrosoft.com身份登录来访问应用程序时,我相信这是同意流将开始的地方,并询问用户是否要在自己的目录中配置应用程序。在配置应用程序后,返回的令牌是否包含在其directory2中分配给UserB的角色,或者在directory1中分配给用户的角色?
我注意到应用了userB目录中分配的角色。
答案 0 :(得分:0)
我认为令牌会在租户中显示访问令牌所针对的用户的角色声明。
假设此用户的角色分配在目录1和2中不同,当用户登录应用程序(具有目录1的租户上下文)时,他们将返回在该特定目录中为其设置的角色。同样,如果我们更改租户上下文(到目录2),则令牌中的声明将代表该用户在该其他租户中的角色。
如果我误解了你的问题,请告诉我, 谢谢! Shawn Tabrizi