Проверьте, разрешен ли пользователю Azure AD доступ к моему приложению

Question

Я разработал приложение (asp. net веб-приложение), которое аутентифицируется с использованием azure ad и asp. net owin. Это мультитенантное приложение, поэтому я зарегистрировал свое приложение в azure объявлении как мультитенантное приложение. Это означает, что каждый пользователь с учетной записью Microsoft / Work / School может войти в мое приложение. Это нормально, но мне нужно проверить, имеет ли пользователь, выполняющий вход, действительную лицензию на использование моего приложения. Как я могу это сделать? Могу ли я каким-то образом прервать процесс входа в систему через owin и проверить действующую лицензию, или как это обычно делается?

Answer 1

Что обычно делается для отделения AUTHENTICATION (кто является пользователем) от AUTHORIZATION (что может делать пользователь).

Т.е. вы НЕ мешаете аутентификации - пользователь приходит и отправляет токен. Затем ваше приложение реагирует, перенаправляя пользователя на страницу «создать учетную запись», когда он новый. Это создает в вашем приложении запись БД для этого пользователя. Вы также можете отправить его на страницу «Извините, у вас нет прав на это приложение».

Это позволяет использовать одну и ту же аутентификацию для нескольких приложений с отдельными правами и полностью разделяет аутентификацию и авторизацию.