我是 Azure 与 Web 应用程序集成的新手。我可以知道是否有任何教程可用于为使用 Azure AD 登录的用户分配角色?例如UserManager.AddToRole(userId, "Admin")标准登录。我需要有关如何为使用 Azure AD 登录的用户分配角色的完整指南。谢谢!
PS:我使用带有 WebForm 的 ASP.NET,而不是 MVC。
问问题
607 次
1 回答
2
首先,您需要弄清楚如何在应用程序中实现授权。Azure AD 有 3 种主要机制。来自:https ://azure.microsoft.com/en-us/documentation/articles/guidance-multitenant-identity-app-roles/
使用 Azure AD 应用角色的角色:SaaS 提供商通过将应用程序角色添加到应用程序清单来定义它们。客户注册后,客户 AD 目录的管理员会为用户分配角色。当用户登录时,用户分配的角色将作为声明发送。
如果选择此方法,则可以 POST 到 Azure AD Graph 的 /appRoleAssignments 以将组或用户分配给应用程序角色,如下所示:
POST https://graph.windows.net/myorganization/servicePrincipals/{service_principal_object_id}/appRoleAssignedTo
Body
Content-Type: application/json
{
"id":"{role_object_id}",
"principalId":"{user/group_object_id}",
"resourceId":"{service_principal_object_id}"
}
有关详细信息,请参阅此链接:https ://msdn.microsoft.com/library/azure/ad/graph/api/entity-and-complex-type-reference#AppRoleAssignmentEntity
使用 Azure AD 安全组的角色:在这种方法中,角色表示为 AD 安全组。应用程序根据用户的安全组成员身份为其分配权限。
如果您选择这种方法,您可以 POST 到 Azure AD Graph 的 /groups 以将用户分配到一个组,如下所示:
POST https://graph.windows.net/myorganization/groups/{group_object_id}/$links/members?api-version
Body
Content-Type: application/json
{
"url": "https://graph.windows.net/myorganization/directoryObjects/{user_object_id}"
}
有关详细信息,请参阅此链接:https ://msdn.microsoft.com/library/azure/ad/graph/api/groups-operations#AddGroupMembers
使用应用程序角色管理器的角色:使用这种方法,应用程序角色根本不存储在 Azure AD 中。相反,应用程序将每个用户的角色分配存储在自己的数据库中——例如,使用 ASP.NET Identity 中的 RoleManager 类。
如果您选择这种方法,那么您基本上会继续使用 AddToRole。
请务必查看我引用的第一个链接,了解如何实现前两种方法的详细信息。
于 2016-06-18T07:18:49.767 回答