jri*_*zzo 7 asp.net-mvc active-directory azure
我设置和MVC 4应用程序并添加了对我们的Azure AD服务器的身份验证,如下所述:http://msdn.microsoft.com/en-us/library/windowsazure/dn151790.aspx
身份验证按预期工作.但是,我没有默认任何角色.应该创建几个AD组,我想使用它们通过MVC中的[Authorize]属性来限制应用程序.
我真的找不到一个好的地方,甚至开始搞清楚这一点.任何人都可以给我一个大纲或指向我一个很好的教程吗?
我应该提一下,我不是Azure帐户的管理员,因此如果需要进行任何设置,我需要告诉管理员该怎么做.
首先,Azure AD返回的令牌当前不包含角色或组的声明,因此您需要从Graph API获取它们.其次,Graph API返回的Azure AD中的角色不一定用于ISV/LoB应用程序,通常您应该使用安全组进行授权.要执行授权,您应该使用Graph API中的checkMemberGroups或getMemberGroups操作,这些操作是可传递的并且对此有效.
如果您按顺序查看以下资源,我认为您的问题将得到解答.您将学习如何对Graph进行身份验证,调用它,以及如何配置应用程序以使用组操作的结果来执行授权:
肖恩的回答有点过时了.您现在可以配置Azure AD,以便在JWT令牌中包含组或角色,以便将其包含在内,ClaimsPrincipal.Current.Claims因此标准[Authorize(Roles = "yourRoleName")]属性将起作用.
这是介绍帖.这基本上说你有两个选择:
使用组声明 - 您需要groupMembershipClaims在应用清单中更改值,稍后在应用程序中,您可以检查ClaimsPrincipal.Current.FindFirst("groups").Value以查看用户是哪个组(您只获得组ID).您可以编写自己的使用此属性的Authorize属性.更多信息
为您的应用程序定义角色,然后使用普通代码测试用户是否在角色中:
[PrincipalPermission(SecurityAction.Demand, Role = “yourRoleName”)]
[Authorize(Roles = “yourRoleName”)]
if (ClaimsPrincipal.Current.IsInRole(“yourRoleName”)) { //do something }
真正奇怪的是,您无法从Azure网页分配多个角色.你需要使用azure graph api.
如果您Users and Groups在Azure门户中看不到选项卡,则可能需要Azure AD Basic或Premium版本.如果您正在开发免费的azure订阅,则可以使用免费的Azure AD Premium试用版来测试内容.
| 归档时间: |
|
| 查看次数: |
5640 次 |
| 最近记录: |