例如,我在应用注册中有一个应用'myApp',并且我有一个Azure Active Directory中的用户User1这是AD中的一个Admin。我想通过该应用中的Azure AD使用身份验证,并希望User1仅具有访问'api/todos'和'api/vehicles'的权限。所以可以有角色'Role1 with permissions Todos , Vehicles`。有没有办法配置它?谢谢。有没有办法在天青活动目录中为web应用用户添加自定义权限
是的,有一种方法来配置它。 Azure与角色概念一起工作。 This sample显示了如何在Web API中执行此操作。
简而言之:您需要定义可能的角色并通过管理门户中的应用程序配置将用户分配给他们。然后,您需要在Web API控制器方法(例如,Web应用程序)上定义用户应使用[Authorize]属性中的哪些角色。像one of the sample's controllers:
[Authorize(Roles = "Admin, Observer, Writer, Approver")]
public ActionResult Index()
{
ViewBag.Message = "Tasks";
ViewData["tasks"] = TasksDbHelper.GetAllTasks();
return View();
}
像往常一样与[Authorize]它是继承,所以你可以把它放在整个控制器类。
好的,这对我来说很清楚,我知道这种可能性,我在寻找的是向该角色添加一些配置的方式,例如:role'admin'具有权限'readContacts','readTasks'。但是,现在我认为应该在应用程序内部配置此信息,而不是Azure AD,是否正确? –
是的,您可以在AAD中定义角色,然后您的应用程序确定特定角色应拥有哪些权限。 – RasmusW
同意,将这样做) –