我有一个应用程序需要根据其本地 AD 通用名称来过滤权限。几点注意事项:
- Azure AD Connect 正在 OnPrem AD 和 Azure 之间同步数据
- 我已成功将登录用户的组信息从 Azure Graph API 检索到 Web 应用程序中。
我遇到的问题是从 Graph API 返回的数据不是我需要的,或者我没有正确配置 Azure AD Connect。组的 Graph API JSON 返回对象记录在 here 中。 .
这是从 Graph API 返回的 Group 对象:
{
"odata.metadata": "https://graph.windows.net/myorganization/$metadata#directoryObjects/Microsoft.DirectoryServices.Group/@Element",
"odata.type": "Microsoft.DirectoryServices.Group",
"objectType": "Group",
"objectId": "b4bda672-1fba-4711-8fb1-5383c40b2c14",
"deletionTimestamp": null,
"description": "Marketing Department",
"dirSyncEnabled": null,
"displayName": "Marketing",
"lastDirSyncTime": null,
"mail": null,
"mailNickname": "BposMailNickName",
"mailEnabled": false,
"onPremisesSecurityIdentifier": null,
"provisioningErrors": [],
"proxyAddresses": [],
"securityEnabled": true
}
我能找到的最接近的是“显示名称”,但这不是通用名称。一个选项(我不想使用)是使所有“显示名称”与组 CN 相同。
TLDR; 用户组 CN 是否可以通过 Graph API 访问?如果可以,我如何获取这些数据?
-更新:一旦检索到所有用户组 ID,我就会使用图形 API 端点 getObjectsByObjectIds 来访问图形 API。
最佳答案
CN 无法通过 Graph API(AAD 或 Microsoft Graph)访问。如果您正在寻找本地和云之间的通用唯一标识符,则可以使用本地组 SID(在云中 onPremisesSecurityIdentifier
)。该属性是可过滤的。
我能想到的唯一其他选择(如果这 Not Acceptable 并且您确实需要 CN)是使用 directory schema extensions ,用附加 CN 属性扩展组实体。模式扩展也是可过滤的。另请查看最新的 AD Connect 版本,因为我相信它们提供了创建/配置 AAD 云架构扩展并从本地进行映射的功能。
希望这有帮助,
关于Azure AD - 检索本地 AD 组公用名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35878421/