我正在寻找有关 ASP.NET MVC 应用程序的帮助。它对单租户 Azure Active Directory 用户进行身份验证,并可以使用 Active Directory 安全组对用户进行授权。即,如果用户是该安全组的一部分,则仅允许访问网站,否则访问被拒绝。
Active Directory 身份验证可以由 Visual Studio 本身使用向导完成,但不确定如何通过 AAD 安全组执行授权。
附注我是 ASP.NET 安全新手
最佳答案
当用户登录应用程序时,只要您适当修改应用程序的 list (请参阅下面的示例应用程序链接了解步骤),来自 Azure AD 的传入 token 将包含组声明。然后,您的应用程序代码可以读取这些声明并根据它们做出授权决策。
这是一个基于组声明进行授权的示例应用程序 -
Authorization in a web app using Azure AD groups & group claims
实现授权逻辑时要考虑的其他信息
您特别询问了组,但您还应该考虑使用应用程序角色,它可以帮助您实现基于角色的授权逻辑。查看 Microsoft 文档链接 Application Roles 。这是另一个类似问题的链接,其中我提供了有关应用程序角色和组的更多详细信息以及两者的示例代码的链接。 Azure Active Directory Integration with Custom RBAC
一旦您了解了应用程序角色和组的用法/目的,您完全可以决定将授权逻辑基于登录用户的角色和组信息的组合,而不仅仅是一个。
如果用户属于多个组(据我所知 6 个或更多),Azure AD token 不会直接作为 token 的一部分跨“组”发送,而是发送一个超额指示器,然后您可以在单独的调用中查询组。在这里查看 token 相关文档 - Claims in id_tokens
关于c# - 基于 asp.net mvc 和 azure Active Directory 安全组的授权,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52469913/