我正在创建一个网站,供管理员使用Azure Active Directory帐户进行身份验证。该网站将提供他们管理的员工的销售数据。
将为经理调用返回职员A的销售数据的服务。
我的问题是,通过对各种服务的调用来传递已登录管理器的“身份”的正确方法是什么。
我是否只是通过网站级别的系统级别身份验证来保护服务,并在请求中传递管理者的用户标识符作为参数?
OR
我是否尝试将oauth身份传递到服务,以便在管理器的安全上下文中调用它们?如果使用这种方法,我该怎么做?
答案 0 :(得分:0)
我认为,如果您的企业对安全性的要求不高,那么第一个选择就是很好。但是,如果您想要更高的安全性,则可以使用第二种选择。
第二种选择是,您需要在天蓝色广告中为应用程序服务注册一个应用程序。请遵循此page上的步骤。并遵循以下steps在AD中注册另一个应用程序以代表客户端应用程序。然后转到您的客户端应用程序,然后grant permissions允许客户端应用程序调用后端应用程序。之后,经理需要获取访问令牌,然后才能在您的应用服务器中请求api返回销售数据。
答案 1 :(得分:0)
此Azure示例准确显示了我们要实现的with an ASpNet Core Web Site calling own AspNet Core Service secured with our Active Directooy organisation
我在使它工作时遇到了一些问题,但是这个示例正是我问这个问题所希望的。 FWIW这是一个单独的问题,涉及我正在实施示例Why Http 401 when calling AspNet Core API secured with AAD. Our WebApp, Web API and AD Org
的特定问题