我正在考虑将Azure AD用于我们的应用程序。一个重要方面是对于某些应用程序仅允许用户子集使用某些范围(JWT中的scp声明)的能力。因此,我正在寻找一种解决方案,以通过组,角色或类似角色来分配这些范围,但是还没有找到任何信息来确定是否可行。
作为示例,有两个应用程序(AppA,AppB)。在AppA中,所有用户都应具有范围MyResource.Delete,但在AppB中,只有一小部分用户应具有范围MyResource.Delete。所有用户都应有权访问两个应用程序,但这些应用程序内的权限应有所不同。
我将如何通过AAD管理此类设置?
答案 0 :(得分:0)
您无法使用范围来实现。但是您可以使用application roles来实现。
一旦define application roles for your application,您就可以assign only specific users to speific roles。这是一种精细控制对应用程序的访问并控制哪些用户具有哪种访问类型的方法。