luk*_*asz 5 azure azure-active-directory microsoft-graph-api
我在 Azure 中有一个企业应用程序,定义了一些角色,比方说:
然后我有一些嵌套的 Active Directory 组,例如:
我可以将用户和 AD 组分配给这些角色。但是,当我想将组分配给角色时,只有当用户是该组的直接成员时,它才有效。例如,如果我将整个组 STUD 添加到角色,则它不适用于角色分配。因此我必须将所有单个嵌套角色添加到角色中,这是相当耗时的。但这作为一次性解决方案是可以接受的。不好的是,不断有新的群组和用户出现。而且我必须始终手动保持角色分配最新。
理想情况下,我想说:来自 STUD root AD 组的每个人都获得学生角色等。显然这是不可能的: https ://feedback.azure.com/forums/169401-azure-active-directory/suggestions/15718164 -在 azure-ad-app-acc 中添加对嵌套组的支持
是否可以通过一些自动化脚本来完成?也许您还有其他想法?提前致谢!
小智 0
正如您所发现的,天蓝色广告目前在各种情况下都不能很好地处理嵌套组,并且正如您在您发布的线程中发现的那样,微软正在开始研究解决方法。所以问题是,当微软发布解决方案时,您愿意花多少精力来尝试实现一些可能在中期成为某种内置功能的东西?
您可以做一些事情,例如编写一个 powershell 脚本来扁平化一个组。但你会手动调用它。为了保持干净,我将为每个应用程序注册角色创建一个父组。例如,创建一个名为 app_x_prof 之类的组,然后将 prof 组放入其中。然后压平它。但这仍然是相当手动的。
如果你真的想自动化,有一些方法。例如,您可以结合创建应用程序角色特定组,向其中添加嵌套组,然后运行您定期创建的电源自动化(流),该流程会遍历这些特殊命名的组,以从嵌套组中获取所有用户并将它们复制到根组..
一切都取决于多少努力和时间。
| 归档时间: |
|
| 查看次数: |
10566 次 |
| 最近记录: |