Я разработал Azure WebApp с аутентификацией AAD. Любой, кто имеет действительные учетные данные AD, может получить доступ к этому веб-сайту, по крайней мере, к домашней странице. Некоторые другие страницы имеют проверку безопасности на основе групп пользователей, которые есть у этого пользователя. Вот что происходит сейчас:
- Браузер go до https://xxx.azurewebsite.net/home.html
- немедленно перенаправить на страницу входа в AD
- после проверка пароля браузера обратно на домашнюю страницу. Токены JWT содержат имя, фамилию, адрес электронной почты, а также список групп пользователей. Этот пользователь имеет
- переход на другую страницу (например, редактирование данных формы), сначала проверяет группу пользователей и возвращает вас на страницу домашняя страница, если требование не выполнено.
- Таким образом, любой, кто имеет действительную учетную запись AD (т. Е. Все корпоративные сотрудники), может видеть домашнюю страницу.
- Администрирование назначения групп пользователей осуществляется корпоративной AD. Итак, у нас есть что-то вроде IT_GROUP, FINANCE_GROUP, WAREHOUSE_GROUP и т. Д. c.
Хорошо. В действительности, только небольшая группа наших сотрудников должна использовать это веб-приложение, в основном только менеджер каждой группы может иметь доступ.
Поэтому я добавляю роль приложения с именем "XXXUSER" в манифест, а затем назначьте каждого менеджера для этой роли приложения.
Далее я хочу использовать эту роль приложения, чтобы запретить пользователям доступ к этому веб-приложению, у которых нет этой роли.
В этом сценарии это так? Можно ли остановить людей, у которых нет этой роли приложения, от просмотра домашней страницы?
Мне кажется, что какой-то сайт может выдать ошибку «AADSTS50105: вошедшему в систему пользователю не назначена роль для приложения» после входа в AD. Это то, что я хочу реализовать, но не знаю, как это работает.