asp.net mvc и Azure авторизация на основе группы безопасности активного каталога

Question

Я ищу помощь для приложения ASP.NET MVC.Аутентифицируют пользователей активного каталога с одним клиентом Azure и могут авторизовать пользователей с помощью группы безопасности активного каталога.т. е. если пользователь входит в эту группу безопасности, то разрешить доступ только к веб-сайту, в противном случае доступ запрещен.

Аутентификация в активном каталоге может быть выполнена самой Visual Studio с помощью мастера, но не уверен, как выполнить авторизацию через группу безопасности AAD.

PS Я новичок в безопасности ASP.NET

Answer 1

Когда пользователь входит в приложение, входящий токен из Azure AD будет содержать групповых утверждений , как только вы соответствующим образом измените манифест приложения (шаги см. В приведенной ниже ссылке на пример приложения).Код вашего приложения может затем прочитать эти утверждения и принять решения об авторизации на их основе.

Вот пример приложения, которое выполняет авторизацию на основе утверждений группы -

Авторизация в веб-приложении с использованиемAzure AD группы и групповые заявки

Групповые заявки

ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ ДЛЯ РАССМОТРЕНИЯ ПРИ РЕАЛИЗАЦИИЛОГИКА АВТОРИЗАЦИИ

1. Вы специально задали вопрос о группах, но вам также следует рассмотреть возможность использования ролей приложений, которые могут помочь вам реализовать логику авторизации на основе ролей.Посмотрите на документацию Microsoft по ссылке Роли приложений .Вот ссылка на другой похожий вопрос, где я предоставил немного более подробную информацию о ролях приложений и группах и ссылки на пример кода для обоих. Интеграция Azure Active Directory с настраиваемым RBAC

   Как только вы поймете использование / назначение ролей и групп приложений, вы можете полностью решить, что хотите основывать свою логику авторизации на комбинации.сведений о ролях и группах для вошедшего в систему пользователя вместо одной.

2. В случае, когда пользователь входит в состав многих групп (6 или более AFAIK), токен Azure AD неотправить через «группы» непосредственно как часть токена, вместо этого он отправляет индикатор превышения, а затем вы можете запросить группы в отдельном вызове.Взгляните на документацию по токену здесь - Заявки в id_tokens