我们正尝试将AzureAD用作Amazon Web Services的IDP,并为我们的用户提供基于其AD组成员身份角色切换到其他帐户/访问级别的功能。
以下是一个链接,它为我们提供了使用ADFS之后的确切信息。命名巧妙的AD组将转换为AWS角色,这些角色将作为声明传递。
特别是,通过ADFS实现此目标的部分是在向依赖方信任添加角色时可以执行的自定义声明转换。
不幸的是,我们必须使用AzureAD,而不能使用ADFS,目前我们无法找到使用RegEx转换的方法来获得与ADFS相同的结果。
任何人都可以向我们建议一种方法或什至可行吗?
谢谢!
答案 0 :(得分:0)
我认为这不可能。
但是,您可以做的是将组分配给您在应用清单中定义的角色。 这样,您也不必依赖组名中的魔术字符串。 请注意,这确实需要付费许可证,因为Free AAD中不提供基于组的访问管理。 免费版中,您必须将用户角色分别分配给每个用户,并且一个用户只能拥有一个角色。 使用基于组的用户,可以为用户分配多个角色。
更多信息:https://docs.microsoft.com/en-us/azure/active-directory/develop/howto-add-app-roles-in-azure-ad-apps