我有一个Azure功能应用程序(API)链接到Azure Active Directory(AAD)中的应用程序注册,它通过Manifest公开了一些自定义角色。
AAD中的客户端应用程序注册可以添加API并从其自定义角色中选择作为权限。这允许客户端应用程序调用AAD来获取 包含这些自定义角色的JWT,然后可以在JWT验证期间由下游功能应用程序检查。
我希望客户端App Registration还包含其他API的自定义角色,作为公司产品组的一部分' (例如,产品组可能是销售,服务,财务等)。
我想创建代表每个B2B消费者系统的AAD用户,并将它们链接到与公司'产品组对齐的组。
因此,用户(B2B消费者系统)应该能够请求包含产品组中所有API的自定义角色的JWT。 我需要JWT包含消费者系统的信息,因为它需要可供下游功能应用程序使用。
实现这一目标的最佳途径是什么?
答案 0 :(得分:0)
我们能够想到的最好的方法是在清单中创建带有自定义角色的应用注册,以代表每个产品组。这些应用程序注册完全独立于任何特定的功能应用程序(API)实现。
然后,我们为每个B2B消费者系统提供客户端应用程序注册,从其父产品组应用程序注册中导入所需的自定义角色。
下游功能应用程序(API)然后根据从JWT中提取的角色执行处理。