0

我们正在尝试将 AzureAD 用作 Amazon Web Services 的 IDP,并让我们的用户能够根据他们的 AD 组成员身份将角色切换到其他帐户/访问级别。

以下是一个链接,它为我们提供了使用 ADFS 后的确切情况。巧妙命名的 AD 组被转换为作为声明传递的 AWS 角色。

https://aws.amazon.com/blogs/security/aws-federated-authentication-with-active-directory-federation-services-ad-fs/

具体来说,使用 ADFS 实现此目的的部分是自定义声明转换,您可以在将角色添加到依赖方信任时执行此操作。

不幸的是,我们必须使用 AzureAD 而不能使用 ADFS,目前我们无法找到使用 RegEx 转换来获得我们可以使用 ADFS 的结果的方法。

任何人都可以告诉我们一种方法,或者这是否可能?

谢谢!

4

1 回答 1

0

我不认为这是可能的。

但是,您可以将这些组分配给您在应用程序清单中定义的角色。这样,您也不必依赖组名中的魔术字符串。请注意,这确实需要付费许可证,因为基于组的访问管理在 Free AAD 中不可用。在免费上,您必须为每个用户单独分配用户角色,并且一个用户只能拥有一个角色。通过基于组,您可以为一个用户分配多个角色。

更多信息:https ://docs.microsoft.com/en-us/azure/active-directory/develop/howto-add-app-roles-in-azure-ad-apps

于 2019-02-12T07:23:38.790 回答