如何通过MVC Azure AD身份验证从AD获取角色？

Question

我设置和MVC 4应用程序并添加了对我们的Azure AD服务器的身份验证，如下所述： http ： //msdn.microsoft.com/en-us/library/windowsazure/dn151790.aspx

身份验证按预期工作。 但是，我没有默认任何角色。 应该创建几个AD组，我想使用它们通过MVC中的[Authorize]属性来限制应用程序。

我真的找不到一个好的地方，甚至开始搞清楚这一点。 任何人都可以给我一个大纲或指向我一个很好的教程吗？

我应该提一下，我不是Azure帐户的管理员，因此如果需要进行任何设置，我需要告诉管理员该怎么做。

Answer 1

首先，Azure AD返回的令牌当前不包含角色或组的声明，因此您需要从Graph API获取它们。 其次，Graph API返回的Azure AD中的角色不一定用于ISV / LoB应用程序，通常您应该使用安全组进行授权。 要执行授权，您应该使用Graph API中的checkMemberGroups或getMemberGroups操作，这些操作是可传递的并且对此有效。

如果您按顺序查看以下资源，我认为您的问题将得到解答。 您将学习如何对Graph进行身份验证，调用它，以及如何配置应用程序以使用组操作的结果来执行授权：

• 使用Graph API查询Windows Azure AD - 这是您完成Web SSO之后的第二个演练。
• 使用Windows Azure Active Directory进行授权
• 适用于Azure AD Graph的MVC示例应用程序
• 描述checkMemberGroups和getMemberGroups的博客文章
• 如何通过Windows Azure AD登录的用户获得角色和组成员资格声明？ - 关于身份验证方法和管理用户/组的UI，这个过时了，但它仍然有用。 请特别注意自定义ClaimsAuthenticationManager部分，它可以让您了解如何尽早将角色/组数据注入ClaimsPrincipal对象，以便可以在[Authorize]属性或其他授权逻辑中使用它。

Answer 2

肖恩的回答有点过时了。 您现在可以配置Azure AD，因此它将在JWT令牌中包含组或角色，因此它将包含在ClaimsPrincipal.Current.Claims因此标准[Authorize(Roles = "yourRoleName")]属性将起作用。

这是介绍帖。 这基本上说你有两个选择：

1. 使用组声明 - 您需要在应用清单中更改groupMembershipClaims值，稍后在应用程序中可以检查ClaimsPrincipal.Current.FindFirst("groups").Value以查看用户是哪个组（您只获取组ID）。 您可以编写自己的使用此属性的Authorize属性。 更多信息

2. 为您的应用程序定义角色，然后使用普通代码测试用户是否在角色中：

   [PrincipalPermission(SecurityAction.Demand, Role = “yourRoleName”)]

   [Authorize(Roles = “yourRoleName”)]

   if (ClaimsPrincipal.Current.IsInRole(“yourRoleName”)) { //do something }

   您需要编辑应用程序清单中的角色。 更多信息在这里和这里 。 此处描述了需要在清单中设置的值

真正奇怪的是，您无法从Azure网页分配多个角色。 你需要使用azure graph api 。

如果在Azure门户中看不到“ Users and Groups选项卡，则可能需要Azure AD Basic或Premium版本。 如果您正在开发免费的azure订阅，则可以使用免费的Azure AD Premium试用版来测试内容。