Azure AppService 与用户 AD 身份验证

Question

想象这样一个场景：我有 Web API 应用程序部署了 tu azure 作为应用程序服务。 我想做的是在这个 Web API 中实现基于角色的操作。 问题是此 API 将从其他 MS 产品（例如 Dynamics CRM、Sharepoint Online 等）调用，并且操作应作为此其他产品的经过身份验证的用户调用。 所以为了简化：

1. 用户登录 Dynamics CRM
2. 一些动作将从 Web API 调用
3. 我需要在 Web API 代码中获取有关谁调用操作的信息，以验证用户是否有权实际调用此操作

你有一些关于如何实现这一点的材料、教程吗？ 我们花了很多时间对此进行研究，但没有找到任何关于这种简单案例的信息。

Answer 1

我相信您正在寻找群组声明或应用角色。

对于组声明，您可以将用户添加到不同的安全组中，并在您的令牌中包含组声明。 您只需要修改应用程序清单中的“groupMembershipClaims”字段：

"groupMembershipClaims": "SecurityGroup"

然后 ID 令牌将包含用户所属组的 ID，如下所示：

{
  "groups": ["{group id}"]
}

然后您可以通过组 ID 在您的代码中实现代码逻辑。

对于应用角色，我认为它可能更适用于你。 您可以在应用程序中添加应用程序角色并在令牌中接收它们。 配置完成后，您将在授权用户的 id 令牌中获取应用角色声明。 然后你可以根据它执行判断语句。

此处的更多信息： 在 Azure AD 应用程序中使用组与使用应用程序角色进行授权。