在 Azure 中,我们可以邀请来自另一个活动目录的来宾用户加入您的活动目录。
是否可以重复使用来宾活动目录中的组?
我不想自己管理它。我想要一个合作伙伴组织(受邀嘉宾所属的组织)管理他们。
更新: 我在我的 Web API 应用程序中使用 Azure AD 和组,我可以在其中允许特定组通过
[Authorize(Policy="AdminsOfMyTenant")]
属性
我想做的是能够在我的 web api 应用程序组中来自另一个租户。
假设合作伙伴 Azure AD 中有一个组“AdminOfPartnerOrg”。然后我想这样使用它:
[Authorize(Policy="AdminOfPartnerOrg")]
class MyWebApiController: ControllerBase
{
...
}
【问题讨论】:
标签: azure asp.net-web-api2 azure-active-directory asp.net-core-2.0
您的情况似乎如下所示:
租户 A:
组租户 A-1
组租户 A-2
用户租户 A-1
用户租户 A-2
租户 B:
组租户 B-1
组租户 B-2
用户租户 B-1
用户租户 B-2
您的期望:
如果我没记错的话,您希望 Group Tenant A-1 成员/用户可以同时管理 Group Tenant B-1 或组租户 B-2,反之亦然。
案例说明:
假设User Tenant A-1 属于Group Tenant A-1。您想邀请User Tenant A-1 加入Tenant B。
但是如果User Tenant A-1 登录到Tenant B,User Tenant A-1 不能再访问Group Tenant A-1 到Tenant B。
另一方面,User Tenant A-1 可以管理Group Tenant B-1 或Group Tenant B-2,如果User Tenant A-1 分配了这些组。
现在考虑您的问题“是否可以重复使用访客活动目录中的组?”
如果您希望User Tenant A-1 登录Tenant A 或Tenant B 可以使用Group Tenant A-1 登录Tenant B 吗?
不,这是不可能的。这样。 User Tenant A-1 可以管理许多不同的组。但是登录到任何特定租户,其他租户组在登录的租户中不可见。可以在组之间切换。
注意: User Tenant A-1 可以分别管理 Group Tenant A-1 , Group Tenant B-1 。但不是在单点登录过程中。他需要在目录之间切换。
更新:
根据您之前的评论,您可以做到。你可以参考这个docs。您还可以找到更简洁的解释 here
一旦您能够检索到您的组声明,您就可以应用IF 条件来实现您想要的任何内容。可以参考以下C# Repository.
代码示例:
c#实现请参考this git hub resource
【讨论】: