我在Azure中有一个企业应用程序,其中定义了一些角色,比如:
然后我有一些嵌套的Active Directory组,例如:
我可以将用户和AD组分配给这些角色。但是,当我要将组分配给角色时,它仅在用户是该组的直接成员时才起作用。例如,如果我将整个STUD组添加到一个角色,则它不适用于角色分配。因此,我必须将所有单个嵌套角色添加到角色中,这非常耗时。 但这将是一次性解决方案。不好的是,不断有新的群组和用户。而且,我必须一直手动保持最新的角色分配。
理想情况下,我想说:来自STUD根AD组的每个人都具有 student 角色,等等。显然这是不可能的: https://feedback.azure.com/forums/169401-azure-active-directory/suggestions/15718164-add-support-for-nested-groups-in-azure-ad-app-acc
是否有可能通过一些自动化脚本来实现?也许您还有其他想法? 预先感谢!
答案 0 :(得分:0)
正如您所发现的,在各种情况下,天青广告目前都无法很好地对待嵌套组,并且正如您在发布了microsoft的线程中所发现的那样,该方法已开始在变通方法上起作用。 因此问题是,在微软发布解决方案的中期,您想花费多少精力来尝试实现某种可能是某种内置功能的东西?
您可以做一些事情,例如编写powershell脚本来展平一组。但您可以手动调用。为了保持整洁,我将为每个应用程序注册角色创建一个父组。例如,创建一个类似app_x_prof之类的组,然后将prof组放入其中。然后把它弄平。但这还是很手工的。
如果您真的想实现自动化,可以使用多种方法。例如,您可以组合创建特定于应用程序角色的组,向其中添加嵌套的组,然后运行定期进行的电源自动化(流程),遍历那些专门命名的组以从嵌套组中获取所有用户并将其复制到根组。
一切取决于付出多少精力和时间。