如何根据域外的 AD 组成员身份授权用户?
[英]How to authorise a User based on AD group membership from outside the domain?
问题描述
我有一个 PHP web 应用程序,它在域外的服务器上运行,我希望能够将一些管理功能锁定到 Active Directory 中某些组的成员,因此对财务部分的访问仅限于成员'财务'组等等。 这似乎是 Microsoft 身份平台的设计目标,但我看不到一种简单的方法来获得简单的“用户是 X 组的成员”类型的响应,而不是全面登录过程。 如果我需要sign-in -> group membership check方法,那很好,我很高兴通过 OAuth 往返发送用户登录到他们的 Windows 帐户并验证他们很乐意分享应用程序的数据。
我认为这里的部分问题是暂时没有处理 Windows 的这一部分,我不知道要搜索什么才能找到有用的文档。
是否有一种简单的方法可以向组织的 Active Directory 发送请求,询问“此用户是否是 {group} 的成员”并获得确认或拒绝的响应?
1 个解决方案
解决方案1
1 已采纳 2020-12-21 01:45:43
您可以调用 Microsoft Graph API: List memberOf来检查用户是直接成员的组和目录角色。
GET https://graph.microsoft.com/v1.0/users/{id}/memberOf
您需要获取 Microsoft Graph 访问令牌才能调用 Microsoft Graph API。
还有另一种更简单的方法可以根据 AD 组成员身份授权用户。 只需在您的令牌中包含groupMembershipClaims声明并在登录后检查它。有关更多详细信息,请参阅此答案。
Zend查询构建器:我只需要根据用户的组成员身份获得其显示名称
[英]Zend query builder: I need to get just the display name of a user based on their membership to a group
如何使用来自受信任域的凭据绑定到 PHP 中的 AD 服务器?
[英]How to bind to AD server in PHP with credentials from trusted domain?
Laravel 5 Rydurham / Sentinal:登录后,基于组成员身份进行重定向
[英]Laravel 5 rydurham/sentinal: post-login, redirect based on group membership
如何使用COM从PHP / IIS读取Active Directory组成员身份?
[英]How To Read Active Directory Group Membership From PHP/IIS using COM?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.