在Azure中,我们可以从另一个活动目录邀请来宾用户到您的活动目录。
是否可以重复使用来宾活动目录中的组?
我不想自己管理它。我希望由合作伙伴组织(邀请来宾所属的组织)进行管理。
更新: 我在Web API应用程序中使用Azure AD和组,可以在其中通过以下方式访问特定组:
[Authorize(Policy="AdminsOfMyTenant")]
属性
我想要做的是能够从另一个租户处进入我的Web api应用程序组。
假设合作伙伴Azure AD中有一个组“ AdminOfPartnerOrg ”。然后我要像这样使用它:
[Authorize(Policy="AdminOfPartnerOrg")]
class MyWebApiController: ControllerBase
{
...
}
答案 0 :(得分:0)
您的情况似乎例如如下所示:
租户A:
组租户A-1
组租户A-2
用户租户A-1
用户租户A-2
租户B:
组租户B-1
组租户B-2
用户租户B-1
用户租户B-2
您的期望:
如果我没错,您希望Group Tenant A-1成员/用户可以同时管理Group Tenant B-1或Group Tenant B-2,反之亦然。
案例说明:
假设User Tenant A-1属于Group Tenant A-1。您想邀请User Tenant A-1加入Tenant B。
但是,如果User Tenant A-1登录到Tenant B,User Tenant A-1将无法再访问Group Tenant A-1进入Tenant B。
另一方面,User Tenant A-1可以管理Group Tenant B-1或Group Tenant B-2,如果User Tenant A-1分配了那些组。
现在考虑您的问题“是否可以重复使用来宾活动目录中的组?”
如果您希望User Tenant A-1登录Tenant A或Tenant B,可以使用Group Tenant A-1登录Tenant B吗?
不可能。通过这种方式。 User Tenant A-1可以管理许多不同的组。但是登录到任何特定的租户,其他租户组在登录的租户中都不可见。可以在组之间切换。
注意:User Tenant A-1可以分别管理Group Tenant A-1和Group Tenant B-1。但不是在单一登录过程中。他需要在目录之间切换。
更新:
根据您之前的评论,您可以这样做。您可以参考此docs。您也可以找到here
的更简短的解释一旦您能够检索到您的团体声明,就可以应用IF有条件地实现您想要的任何东西。您可以参考以下C# Repository.
代码示例:
有关c#实现,请参阅this git hub resource