繁体 English 中英

Azure Active Directory 中供应用程序使用的角色和权限

[英]Roles & Permissions in Azure Active Directory for Application Use

原文 2021-05-25 18:33:12 2 2 azure/ permissions/ azure-active-directory/ azure-ad-b2c/ roles

我对 Azure Active Directory 比较陌生，并试图了解一些用于管理应用程序使用的自定义角色和权限的最佳实践或指南。

例如，我可能想创建一个“技术员”角色，并且他们拥有在应用程序和端点内强制执行的“firmware.upgrade”或“product.view”等权限。

那么“技术员”实际上是一个 Azure AD 组吗？我可以为该组分配自定义角色“firmware.upgrade”和“product.view”吗？ 它甚至可以那样工作吗？

此外，我可以考虑应用程序角色，但“技术人员”（和其他人）将是跨多个应用程序使用的角色。 所以我不确定应用程序角色是否有意义。

2 个解决方案

你在正确的轨道上。

您将首先在 Azure AD 应用程序中创建应用角色，例如“firmware.upgrade”和“product.view”。 请注意，这些角色仅特定于您的 Azure AD 应用程序，具有这些角色的用户可以执行的操作的逻辑将在您的应用程序代码中定义。

接下来，您将创建一个 Azure AD 组（例如“技术人员”、“用户”等）并开始在这些组中分配 Azure AD 中的其他用户。

然后，您将分配这些组应用程序角色。 例如，您可以选择将“firmware.upgrade”和“product.view”角色分配给“Technicians”组，而将“product.view”角色分配给“Users”组。

当用户针对您的应用程序的 Azure AD 进行身份验证/授权时，声明将包括直接或通过组成员资格分配给他们的所有应用程序角色。 根据声明中的应用角色，您将向这些用户授予对应用程序某些部分的访问权限。

请注意，虽然组适用于整个 Azure AD，但您的应用程序角色仅特定于应用程序。 对于 Azure AD 中的每个应用程序，您需要创建新的应用程序角色。

我可以看到另一个答案不是自动答案。无论如何 Azure Active Directory B2C（企业对消费者）没有组的概念，因此不可能对企业应用程序进行基于组的分配。

您可以使用自定义属性来为 B2C 用户分配角色和权限，而不是使用组。 自定义属性是您可以根据用户身份定义和存储的特定于用户的属性。 您可以使用这些属性来存储信息，例如用户的角色或权限。

然后，您可以使用这些自定义属性来控制对您的应用程序的访问。 例如，您可以将您的应用程序配置为检查自定义属性（如“角色”）的值，以确定用户是否具有访问特定功能或资源的必要权限。

但是您也需要自己处理这些属性的管理和分配，而对于组，Azure AD 会为您处理。

如何使用用户委托 SAS 或 Azure RBAC 为 azure 活动目录 B2C 用户（自定义域）授予存储帐户容器权限？

[英]How use User Delegation SAS Or Azure RBAC to grant permissions on storage account containers for azure active directory B2C users (Custom Domain)?

获取分配给在 Azure Active Directory - 应用程序注册中注册的应用程序的角色列表

[英]Get list of roles assigned to an app registered inside Azure Active Directory - App Registrations

Azure 活动目录 MFA

[英]Azure Active Directory MFA

具有 Azure Active Directory 身份验证的 Postgres

[英]Postgres with Azure Active Directory Authentication

我们可以在单个应用程序中使用 Azure Active Directory(AAD) B2B 和 B2C 吗？？？用于 Microsoft Intune 访问的 B2B 和用于用户登录/注册的 B2C

[英]Could we use Azure Active Directory(AAD) B2B and B2C in single application??? B2B for Microsoft Intune access and B2C for user login/signup

Azure Active Directory - 范围 - 本地化

[英]Azure Active Directory - Scopes - Localisation

应该给Azure SQL服务器添加什么权限才能让active directory用户能够自动设置自己的防火墙IP例外？

[英]What's permissions should be added to Azure SQL server to get active directory user the ability to automatically set your own firewall IP exception?

如何使用 Azure Active Directory 在 ASP.NET Core 应用程序中获取经过身份验证的用户的名称

[英]How to get Name of Authenticated user in ASP.NET Core application using Azure Active Directory

对于 azure 活动目录中的注册应用程序，Office 365 Exchange Online 权限不可见

[英]Office 365 Exchange Online permission is not visible for registered application in azure active directory

Azure SQL 与 Azure Active Directory 身份验证 - 用于安全性 function 用于行级安全性

[英]Azure SQL with Azure Active Directory authentication - use in security function for row-level security

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何使用用户委托 SAS 或 Azure RBAC 为 azure 活动目录 B2C 用户（自定义域）授予存储帐户容器权限？获取分配给在 Azure Active Directory - 应用程序注册中注册的应用程序的角色列表 Azure 活动目录 MFA 具有 Azure Active Directory 身份验证的 Postgres 我们可以在单个应用程序中使用 Azure Active Directory(AAD) B2B 和 B2C 吗？？？用于 Microsoft Intune 访问的 B2B 和用于用户登录/注册的 B2C Azure Active Directory - 范围 - 本地化应该给Azure SQL服务器添加什么权限才能让active directory用户能够自动设置自己的防火墙IP例外？如何使用 Azure Active Directory 在 ASP.NET Core 应用程序中获取经过身份验证的用户的名称对于 azure 活动目录中的注册应用程序，Office 365 Exchange Online 权限不可见 Azure SQL 与 Azure Active Directory 身份验证 - 用于安全性 function 用于行级安全性

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM