Kat*_*e P 4 permissions roles azure azure-active-directory azure-ad-b2c
我对 Azure Active Directory 比较陌生,并试图了解管理应用程序使用的自定义角色和权限的一些最佳实践或指南。
例如,我可能想创建一个“技术人员”角色,他们拥有诸如“firmware.upgrade”或“product.view”之类的权限,可以在应用程序和端点中强制执行。
那么“技术人员”实际上是一个 Azure AD 组吗?我可以将自定义角色“firmware.upgrade”和“product.view”分配给该组吗?甚至可以这样工作吗?
另外,我可以考虑应用程序角色,但“技术员”(和其他)将是跨多个应用程序使用的角色。所以我不确定应用程序角色是否有意义使用。
你走在正确的轨道上。
首先,您将在 Azure AD 应用程序中创建应用程序角色,例如“firmware.upgrade”和“product.view”。请注意,这些角色仅特定于您的 Azure AD 应用程序,具有这些角色的用户可以执行的操作的逻辑将在您的应用程序代码中定义。
接下来,您将创建一个 Azure AD 组(例如“技术人员”、“用户”等)并开始在这些组中分配 Azure AD 中的其他用户。
然后您将为这些组分配应用程序角色。例如,您可以选择将“firmware.upgrade”和“product.view”角色分配给“Technicians”组,而将“product.view”角色分配给“Users”组。
当用户针对您的应用程序针对 Azure AD 进行身份验证/授权时,声明将包括直接或通过组成员身份分配给他们的所有应用程序角色。然后,根据声明中的应用程序角色,您将向这些用户授予对应用程序某些部分的访问权限。
请注意,虽然组适用于整个 Azure AD,但您的应用程序角色仅特定于某个应用程序。对于 Azure AD 中的每个应用程序,您需要创建新的应用程序角色。
| 归档时间: |
|
| 查看次数: |
808 次 |
| 最近记录: |