基于ASP.NET MVC和Azure Active Directory安全组的授权
Bha*_*hut 3 c# asp.net azure azure-active-directory
我正在寻找ASP.NET MVC应用程序的帮助。它可以对单个租户进行身份验证以使活动目录用户蔚蓝,并可以使用活动目录安全组授权用户。即,如果用户是该安全组的一部分,则仅允许访问网站,否则拒绝访问。
Active Directory身份验证可以由Visual Studio本身使用向导完成,但不确定如何通过AAD安全组执行授权。
PS我是ASP.NET安全的新手
当用户登录应用程序时,一旦您适当地修改了应用程序的清单,来自Azure AD的传入令牌将包含组声明(有关步骤,请参阅下面的示例应用程序链接)。然后,您的应用程序代码可以读取这些声明并根据它们做出授权决策。
这是一个基于组声明进行授权的示例应用程序-
实施授权逻辑时要考虑的其他信息
您已经明确询问了组,但是您也应该考虑使用应用程序角色,这可以帮助您实现基于角色的授权逻辑。查看Microsoft文档链接“ 应用程序角色”。这是指向另一个类似问题的链接,在该链接中,我提供了有关应用程序角色和组的更详细的信息,以及两个示例代码的链接。 Azure Active Directory与自定义RBAC的集成
一旦了解了应用程序角色和组的用途/目的,就完全有可能决定要基于登录用户的角色和组信息的组合而不是仅仅基于一个授权信息来授权逻辑。
如果用户属于多个组(6个或更多AFAIK),Azure AD令牌不会直接作为令牌的一部分跨“组”发送,而是发送一个超额指示符,然后您可以查询单独通话。在此处查看与令牌相关的文档-id_tokens中的声明
| 归档时间: |
|
| 查看次数: |
1340 次 |
| 最近记录: |