由于 Azman 现在正在停止支持,我们需要找到一种新的方法来为我们的应用程序配置访问控制。
目前,在 Azman 中,我们有一个“操作”列表,例如 CanReadForm、CanEditForm。这些操作可以映射到一个或多个角色,因此您可以构建一组“角色可以做的事情”。用户通常被分配一个角色,因此他们有一个操作列表,或者“用户可以做的事情”
这很有效,因为在登录时,Azman 会知道他们的角色,并传递操作列表。然后可以配置代码,例如:
if(currentUser.HasOperation("CanEditForm"))
{
//allow editing of form
}
对于 ADFS,我很难理解我们如何拥有可以映射到角色的操作列表。大概您可以拥有一个声明列表,这可能类似于 azman 操作,但这些仅映射到用户 - 对吧???例如,您能否将声明列表映射到 Active Directory 组?如果可以,那么 Active Directory 组将充当“角色” 如果可以,您是否需要为每个 AD 组创建一个新的声明列表?
任何人都可以提供任何建议吗?