appRole, определенное в приложении AzureAD, не включено для гостевого пользователя типа «Внешняя Azure Active Directory» - PullRequest
Новая
       20

appRole, определенное в приложении AzureAD, не включено для гостевого пользователя типа «Внешняя Azure Active Directory»

2 голосов
/ 09 мая 2019

Имейте приложение AzureAD для аутентификации с appRoles, определенными в манифесте. Роли назначаются пользователям и включаются в токены аутентифицированных пользователей в качестве утверждений. Это относится как к членам текущего арендатора, так и к новым добавленным гостевым пользователям типа «Учетная запись Microsoft» для источника полномочий. (SignInAudience приложения задается как AzureADandPersonalMicrosoftAccount в манифесте.)

Но для существующего гостевого пользователя типа «External Azure Active Directory» для источника полномочий appRole не проходит через утверждения токена. Стоит ли пытаться удалить гостевую учетную запись пользователя и попробовать ее прочитать? Разве эта особенность / поведение appRoles не будет одинаковой, независимо от того, является ли источник полномочий гостевой учетной записи «Учетная запись Microsoft» или «Внешняя служба Azure Active Directory»?

Или интересно, могут ли быть какие-то дополнительные / дополнительные настройки, которые необходимо установить или настроить для «Внешней службы каталогов Azure»?

PS: конечная точка авторизации, используемая в настоящее время, равна https://login.microsoftonline.com/common,, и она проверяет подлинность, просто не получая appRole, и работает с appRole для гостевой учетной записи типа «Учетная запись Microsoft». Однако следует ли это изменить? ..

1 Ответ

2 голосов
/ 09 мая 2019

Да это было.На основании подозрений попытался изменить полномочия на владельца на основе https://login.microsoftonline.com/contoso.onmicrosoft.com, и это сработало ... да, потому что гостевой пользователь типа "External Azure Active Directory", конечно, аутентифицировался по своему арендатору при использовании https://login.microsoftonline.com/common, иполучить свои роли.Таким образом, вынуждая проходить проверку подлинности против определенного клиента, где он зарегистрирован в качестве гостевого пользователя (где определены роли), роли добавляются в заявки.Конечно, гостевые пользователи типа «Учетная запись Microsoft» не имеют своих собственных арендаторов, поэтому все равно проходили аутентификацию против арендатора ... ха-ха.Просто узнал, что этим утром работал.Впервые использую AAD, но, если подумать, это имеет смысл ... Спасибо!

...