如何根據域外的 AD 組成員身份授權用戶?
[英]How to authorise a User based on AD group membership from outside the domain?
問題描述
我有一個 PHP web 應用程序,它在域外的服務器上運行,我希望能夠將一些管理功能鎖定到 Active Directory 中某些組的成員,因此對財務部分的訪問僅限於成員'財務'組等等。 這似乎是 Microsoft 身份平台的設計目標,但我看不到一種簡單的方法來獲得簡單的“用戶是 X 組的成員”類型的響應,而不是全面登錄過程。 如果我需要sign-in -> group membership check方法,那很好,我很高興通過 OAuth 往返發送用戶登錄到他們的 Windows 帳戶並驗證他們很樂意分享應用程序的數據。
我認為這里的部分問題是暫時沒有處理 Windows 的這一部分,我不知道要搜索什么才能找到有用的文檔。
是否有一種簡單的方法可以向組織的 Active Directory 發送請求,詢問“此用戶是否是 {group} 的成員”並獲得確認或拒絕的響應?
1 個解決方案
解決方案1
1 已采納 2020-12-21 01:45:43
您可以調用 Microsoft Graph API: List memberOf來檢查用戶是直接成員的組和目錄角色。
GET https://graph.microsoft.com/v1.0/users/{id}/memberOf
您需要獲取 Microsoft Graph 訪問令牌才能調用 Microsoft Graph API。
還有另一種更簡單的方法可以根據 AD 組成員身份授權用戶。 只需在您的令牌中包含groupMembershipClaims聲明並在登錄后檢查它。有關更多詳細信息,請參閱此答案。
Zend查詢構建器:我只需要根據用戶的組成員身份獲得其顯示名稱
[英]Zend query builder: I need to get just the display name of a user based on their membership to a group
如何使用來自受信任域的憑據綁定到 PHP 中的 AD 服務器?
[英]How to bind to AD server in PHP with credentials from trusted domain?
Laravel 5 Rydurham / Sentinal:登錄后,基於組成員身份進行重定向
[英]Laravel 5 rydurham/sentinal: post-login, redirect based on group membership
如何使用COM從PHP / IIS讀取Active Directory組成員身份?
[英]How To Read Active Directory Group Membership From PHP/IIS using COM?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.