我已经使用 PKCE 实现了 Azure B2C 身份验证解决方案,但现在想将其连接到类似于 MS 身份服务器模型中的角色的授权服务。
您需要“推出自己的”解决方案吗?例如;一旦用户通过身份验证,我需要确定他们是否具有管理员权限、读/写或只读访问权限。范围不支持这种粒度级别。
答案 0 :(得分:1)
是的。我们需要推出自己的解决方案。
没有现成的 AAD B2C 解决方案可以获取组/目录角色信息。
我们可以通过自定义 (IEF) 政策使用自定义代码在 B2C 中获取群组声明。我们可以利用 REST API claims Integration 和 Microsoft Graph。将新的声明类型“组”添加到自定义策略中并调用 Microsoft Graph 以获取用户组。这是一个 example 供您参考。
如果您使用的是用户流,您可以考虑custom attribute。例如,创建一个名为 AADRole
的自定义属性。将真实的 AAD 角色作为值分配给不同的用户,然后在 B2C 用户登录后从 id 令牌中获取声明。有关详细信息,请参阅此 answer。