Проверка членства в группе Azure Active Directory для отдельного пользователя

Question

Если у вас есть служба приложений Azure, какой оптимальный и самый простой способ проверить, является ли данный аутентифицированный пользователь членом данной группы AAD?

Документация MSDN о том, как запросить членство в группе AADэто кошмар, связывающий людей между Microsoft Graph, Azure Active Directory Graph API, клиентскими конечными точками и серверным кодом, который, по-видимому, требует невозможного количества идентификаторов - поддерживается между portal.azure и web.config.

Кто-нибудь нашел оптимальный способ, на стороне C # .Net, просто посмотреть на группу AAD и сопоставить членство?(Я пытался подавать заявки, используя зарегистрированное приложение Azure с группами, для которых установлено значение Все, и этот путь кажется слишком сложным ...)

Если у вас есть предпочтительный учебник, который поможет ответить на этот вопрос, будет очень признателен,поскольку MS устаревает библиотеки быстрее, чем их объяснение того, как старые работают ...

Answer 1

Старый способ - использовать Graph API и isMemberOf функцию для транзитивной проверки, если пользователь находится в группе.И вы все еще можете сделать это сегодня, если хотите.

Новый способ заключается в использовании Microsoft Graph API .И, как вы, вероятно, знаете из своих исследований, именно здесь инженерные команды инвестируют в будущее.Поэтому в этом API вы должны использовать функцию checkMemberGroups .

Существует клиентская библиотека C # для Microsoft Graph API, которую вы можете использовать.Я предполагаю, что вы предпочитаете это, так как вы пометили вопрос с C #.Что касается примера, вы можете посмотреть в репозитории GitHub здесь , чтобы увидеть, как создаются модульные тесты для проверки пользователя на членство в группе, что по сути является вызовом CheckMemberGroups, который вы можете увидеть в этот файл .