我正在寻找 ASP.NET MVC 应用程序的帮助。它对单租户 Azure Active Directory 用户进行身份验证,并可以使用 Active Directory 安全组授权用户。即,如果用户是该安全组的一部分,则只允许访问网站,否则访问被拒绝。
Visual Studio 本身可以使用向导完成 Active Directory 身份验证,但不确定如何通过 AAD 安全组执行授权。
附:我是 ASP.NET 安全新手
【问题讨论】:
标签: c# asp.net azure azure-active-directory
当用户登录到应用程序时,来自 Azure AD 的传入令牌将包含 组声明,前提是您适当地修改了应用程序的清单(有关步骤,请参阅下面的示例应用程序链接)。然后,您的应用程序代码可以读取这些声明并根据它们做出授权决策。
这是一个基于组声明进行授权的示例应用程序 -
Authorization in a web app using Azure AD groups & group claims
您已经特别询问了组,但您也应该考虑使用应用程序角色,它可以帮助您实现基于角色的授权逻辑。查看 Microsoft 文档链接 Application Roles。这是另一个类似问题的链接,其中我提供了有关应用程序角色和组的更详细信息以及两者的示例代码的链接。 Azure Active Directory Integration with Custom RBAC
一旦您了解了应用程序角色和组的使用/用途,您就完全可以决定要基于登录用户的角色和组信息的组合而不是仅一个来确定您的授权逻辑。
如果用户属于多个组(6 个或更多 AFAIK),Azure AD 令牌不会作为令牌的一部分直接通过“组”发送,而是发送一个超额指示符,然后您可以在单独的呼叫中查询组。在此处查看令牌相关文档 - Claims in id_tokens
【讨论】: