Требования к роли при объединении Azure AD

Question

Мы хотим создать веб-приложение MVC с использованием проверки подлинности на основе утверждений, ожидая роли в качестве одной из претензий. Мы хотим, чтобы Federation провайдеры аутентификации использовали Azure Access Control Service для управления этой федерацией. Одним из поставщиков аутентификации является наш Azure AD.

Проблема заключается в том, что Azure AD, похоже, не может генерировать заявки на роль (или даже группу). Каков подходящий способ управления групповым или ролевым доступом в Azure AD, а также заявки на роль, которые обслуживает Azure Access Control Service.

Спасибо.

Edit:

Предыдущий комментарий попросил детали: Мы хотим, чтобы обеспечить доступ к нашему облачного приложения 3 стороны с помощью их активного каталога (для упрощения управления пользователями для них). Наше приложение имеет несколько уровней доступа к информации, которую могут настроить сторонние лица. Мы надеялись, что они смогут сделать это в своем AD (по нашим инструкциям). Группы выглядели как очевидный выбор, но если есть другой способ, который работает, пока мы можем предоставить инструкции, это сработает.

Мы хотим, чтобы наше приложение получало заявки на уровень доступа пользователя. Если бы у нас был только один партнер, использующий Azure AD, мы могли бы использовать API-интерфейс графа в отношении этой конечной точки, но с одновременным изменением нескольких партнеров мы хотели бы объединить их, поэтому нашему приложению нужно доверять серверу федерации. Мы предполагали, что нам нужна Azure ACS для управления федерацией.

Answer 1

AAD поддерживает роли/группы, и вы можете управлять ими с портала Azure.

Howeve, они не передаются в «консервированном» множестве претензий.

Вам необходимо использовать API-интерфейс Graph, а затем преобразовать их, например. Windows Azure Active Directory: Converting group memberships to role claims.

Update:

ACS требует что-то федеративные отношения со. Вы не можете подключить AD клиента до ACS - вам нужно что-то вроде ADFS поверх своего AD.

Я принимаю ваше облачное приложение. работает в Azure?

Затем сделайте свое приложение. мульти-арендуемый. Если у ваших клиентов есть собственный лазурный арендатор, он будет работать. Вам просто нужно добавить код Graph API в ваше приложение. ACS не требуется.

Затем ваши клиенты запускают DirSync. Это удерживает их лазурного арендатора синхронно. с их изменениями в AD.

Так два варианта:

• Клиент не Azure арендатора. Они устанавливают ADFS и объединяются с AAD.

• У клиентов, у которых есть арендаторов в Azure, используется DirSync.

Answer 2

Группы не являются лучшим выбором, потому что они уникальны в каждом каталоге. Если вы не дадите своим клиентам определить набор групп, которые имеют известные имена и соответствуют строкам, то есть (идентификаторы объектов для разных каталогов различны, даже если они имеют одинаковое имя).Я на самом деле из команды Azure AD, и мы серьезно рассматриваем возможность выпуска функции, позволяющую вам определять роли в приложении, которые ваши клиенты могут назначить своим пользователям. Пожалуйста, следите за этим. Тем временем, к сожалению, группы - единственный путь. Вам нужно будет вызвать «GetMemberGroups» с помощью Graph для извлечения групп, которым назначен пользователь.

Каковы временные рамки для выпуска этого приложения? Вы можете связаться со мной напрямую, чтобы узнать, можем ли мы работать с вашим сценарием.

Answer 3

Хорошие новости: недавно мы включили функции Application Roles и Groups Claim в Azure AD.

Получите быстрый обзор здесь: http://blogs.technet.com/b/ad/archive/2014/12/18/azure-active-directory-now-with-group-claims-and-application-roles.aspx

Глубокий пост погружения и видео на ролях приложения особенность здесь: http://www.dushyantgill.com/blog/2014/12/10/roles-based-access-control-in-cloud-applications-using-azure-ad/

Deep после погружения и видео на ролях приложения особенность здесь: http://www.dushyantgill.com/blog/2014/12/10/authorization-cloud-applications-using-ad-groups/

Надежда что помогает.