Azure AD 身份验证和为应用程序用户分配角色

Posted

技术标签:

【中文标题】Azure AD 身份验证和为应用程序用户分配角色【英文标题】:Azure AD authentication and assigning roles to application users 【发布时间】:2017-12-02 03:52:23 【问题描述】:

我正在开发一个 .net 核心 MVC Web 应用程序,该应用程序使用启用了多租户的 Azure AD 身份验证。现在我想为我的用户添加自定义应用程序角色。为此,我在我的 azure WebApp 清单文件中添加了一些“appRoles”: 但是现在如何将这些应用程序角色分配给我的用户? 我正在使用 portal.azure.com,但我找不到任何可以将这些角色实际分配给我的应用程序用户的屏幕。请让我知道我可以从 azure 门户在哪里执行此操作?或者我是否需要我的 AD 团队的任何其他权限?如果需要,需要哪些特定权限?

【问题讨论】:

【参考方案1】:

您可以在Enterprise applications Blade 中为应用程序分配具有角色的用户:

    点击 Enterprise applicationsblade ,点击 All applications 找到您的应用程序 ID 或显示名称:

    点击那个应用程序,点击Users and groups,你会得到当前分配的用户和分配的角色:

    您可以点击添加用户和Select Role,您可以选择您在清单文件中设置的角色并分配给特定用户:

【讨论】:

对于那些想知道的人,企业应用程序是在租户中创建的服务主体,它链接回原始应用程序。角色分配始终在服务主体上完成,无论是单租户还是多租户应用程序。 在上面的第二步中,当我点击用户和组时,“+添加用户”选项显示为禁用。我的订阅/帐户需要哪些特定权限才能看到启用的“+添加用户”选项,以便我可以添加用户并转到第 3 步? 请尝试使用全局管理员帐户。

以上是关于Azure AD 身份验证和为应用程序用户分配角色的主要内容,如果未能解决你的问题,请参考以下文章

MSGraphMailbag - 用于测试的 Azure AD 应用程序和用户

Azure AD - 令牌中缺少角色声明

是否可以为 Azure AD 中的用户或组分配多个角色?

[Azure - Security] Azure的多重身份验证:使用AD(Azure Active Directory)开启用户MFA

在 asp 中用于 Windows 身份验证的简单自定义角色。网?

Blazor 使用 Azure AD 身份验证允许匿名访问