Можно ли в AzureAD выполнять преобразования пользовательских утверждений так же, как в ADFS?

Question

Мы пытаемся использовать AzureAD в качестве IDP для Amazon Web Services и предоставляем нашим пользователям возможность переключения ролей на другие учетные записи / уровни доступа в зависимости от их членства в AD Group.

Ниже приведеноссылка, которая дает нам именно то, что мы после использования ADFS.Умно названные группы AD преобразуются в роли AWS, которые передаются в качестве утверждений.

https://aws.amazon.com/blogs/security/aws-federated-authentication-with-active-directory-federation-services-ad-fs/

В частности, часть, которая достигает этого с помощью ADFS, - это пользовательские преобразования утверждений, которые можно выполнять при добавлении роли в доверие проверяющей стороне.

К сожалению,мы должны использовать AzureAD и не можем использовать ADFS, в настоящее время мы не можем найти способ использовать преобразования RegEx для получения результатов, которые мы можем использовать с ADFS.

Может кто-нибудь посоветовать нам подход или, если это вообще возможно??

Спасибо!

Answer 1

Я не думаю, что это возможно.

Однако вы можете назначить группы ролям, которые вы определяете в манифестах приложений.Таким образом, вы не зависите от волшебных строк в именах групп.Обратите внимание, что для этого требуются платные лицензии, так как управление доступом на основе групп недоступно в Free AAD.В Free вы должны назначать роли пользователя каждому пользователю индивидуально, и у пользователя может быть только одна роль.На основе групп вы можете назначить пользователю несколько ролей.

Дополнительная информация: https://docs.microsoft.com/en-us/azure/active-directory/develop/howto-add-app-roles-in-azure-ad-apps