【发布时间】:2014-12-06 02:36:53
【问题描述】:
我们希望使用基于声明的身份验证创建 MVC Web 应用程序,并将角色作为声明之一。我们希望使用 Azure 访问控制服务联合身份验证提供程序来管理此联合。身份验证提供程序之一是我们的 Azure AD。
问题在于 Azure AD 似乎无法生成角色(甚至是组)声明。在 Azure AD 中管理组或角色访问并让 Azure 访问控制服务提供角色声明的适当方法是什么。
谢谢。
编辑:
先前的评论要求提供详细信息:我们希望使用第三方的活动目录向第三方提供对我们云应用程序的访问(以简化他们的用户管理)。我们的应用程序对第三方可以配置的信息有几个级别的访问权限。我们希望他们可以在他们的广告中做到这一点(根据我们的指示)。小组似乎是显而易见的选择,但如果有另一种可行的方式,只要我们能提供说明,它就会奏效。
我们希望我们的应用程序能够获得用户访问级别的声明。如果我们只有一个使用 Azure AD 的合作伙伴,我们可以针对该端点使用图形 API,但是随着多个合作伙伴随着时间的推移而变化,我们希望联合它们,因此我们的应用程序只需要信任联合服务器。我们假设我们需要 Azure ACS 来管理联合。
【问题讨论】:
-
谢谢,不知道。如果我们的应用程序期望使用来自 STS 的声明,包括角色,我们需要使用 ACS(或者放弃使用不符合标准的 Graph API),对吗?但是,我想回到最初的问题,你如何让 Azure AD 在这条链的任何部分都发挥得很好?
标签: azure wif azure-active-directory azure-acs