[英]How to configure users access to an API protected with Azure AD oAuth2
我們有一個現有的“私有/內部” API(非MS / Azure),我們希望使用Azure AD提供的oAuth2進行保護,以便Azure AD管理員可以維護用戶對該API的訪問。
看來執行此操作的方法是將API配置為Azure AD中的Web應用程序。 然后,用戶可以從Azure oAuth2服務器獲取授權令牌並將其發送到api(例如,從單頁Web應用程序)。
根據我的理解,API有望驗證令牌中收到的范圍,並做出有關訪問的決定。
但是我不知道如何針對用戶在Azure AD中配置API訪問范圍。 即如何在Azure AD中鏈接特定用戶和API作用域?
有人可以建議嗎?
謝謝。
配置應用程序時,可以啟用“需要用戶分配”(在Azure門戶的企業應用程序屬性中),然后配置哪些用戶或組應具有訪問權限。
另外,如果您需要更多粒度,則可以使用基於角色的訪問權限,在其中定義應用程序清單中的角色( https://docs.microsoft.com/zh-cn/azure/architecture/multitenant-identity/app-roles ),然后將用戶分配給不同的角色。
然后,可以使用所需的角色來配置API控制器或其上的操作上的[Authorize]
屬性,例如: [Authorize(Roles = "Admin, Writer, Approver")]
(三個命名角色中的任何一個[Authorize(Roles = "Admin, Writer, Approver")]
有訪問權)。
有一個樣本可以證明這一點。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.