对于新项目,我们正在尝试Azure功能。 对于poc,我创建了一个使用openidconnect和Azure活动目录进行身份验证的应用程序。该应用程序是多租户。
目前,我能够配置开放式身份验证。我还在应用程序清单中添加了3个应用程序角色。
现在我使用Azure活动目录中的租户登录。我能够将这些应用程序角色分配给自己,当我检查应用程序时,它还可以列出我的用户从另一个租户分配的新角色。
现在我想创建租户特定角色(通过门户网站,如果可能的话,通过代码?(OpenGraph?,ADClient?))我该怎么做?
如何使用代码将每个租户的应用程序角色和自定义创建的角色添加到用户?
答案 0 :(得分:1)
Azure AD应用程序角色&角色声明基于应用程序。我们只能为应用程序创建角色,使用此应用程序的所有租户都将使用应用程序清单中定义的角色。它无法创建租户特定角色。
根据该方案,您可以考虑使用组声明授权应用程序,因为组基于租户。您可以参考有关Azure AD组的代码示例以获取授权here。
我们可以使用Azure Graph API来管理群组和用户,您可以参考here的更多详细信息。
注意
要创建群组并更新群组成员,该应用需要权限Group.ReadWrite.All,User.ReadBasic或User.Read.All。因此,这些应用需要管理员同意Group.ReadWrite.All权限。