Azure AppService 與用戶 AD 身份驗證

Question

想象這樣一個場景：我有 Web API 應用程序部署了 tu azure 作為應用程序服務。 我想做的是在這個 Web API 中實現基於角色的操作。 問題是此 API 將從其他 MS 產品（例如 Dynamics CRM、Sharepoint Online 等）調用，並且操作應作為此其他產品的經過身份驗證的用戶調用。 所以為了簡化：

1. 用戶登錄 Dynamics CRM
2. 一些動作將從 Web API 調用
3. 我需要在 Web API 代碼中獲取有關誰調用操作的信息，以驗證用戶是否有權實際調用此操作

你有一些關於如何實現這一點的材料、教程嗎？ 我們花了很多時間對此進行研究，但沒有找到任何關於這種簡單案例的信息。

Answer 1

我相信您正在尋找群組聲明或應用角色。

對於組聲明，您可以將用戶添加到不同的安全組中，並在您的令牌中包含組聲明。 您只需要修改應用程序清單中的“groupMembershipClaims”字段：

"groupMembershipClaims": "SecurityGroup"

然后 ID 令牌將包含用戶所屬組的 ID，如下所示：

{
  "groups": ["{group id}"]
}

然后您可以通過組 ID 在您的代碼中實現代碼邏輯。

對於應用角色，我認為它可能更適用於你。 您可以在應用程序中添加應用程序角色並在令牌中接收它們。 配置完成后，您將在授權用戶的 id 令牌中獲取應用角色聲明。 然后你可以根據它執行判斷語句。

此處的更多信息： 在 Azure AD 應用程序中使用組與使用應用程序角色進行授權。