2. 질의 응답
  3. Azure AD 연동시 역할 클레임

Azure AD 연동시 역할 클레임

2014-10-10 6 views
2

클레임 기반 인증을 사용하여 역할을 기대하는 MVC 웹 응용 프로그램을 만들고자합니다. Azure Access Control Service를 사용하여 인증 공급자를 연합하여이 연합을 관리하려고합니다. 인증 공급자 중 하나는 Azure AD입니다.Azure AD 연동시 역할 클레임

문제는 Azure AD가 역할 (또는 그룹조차도) 주장을 생성 할 수없는 것 같습니다. Azure AD에서 그룹 또는 역할 액세스를 관리하고 Azure Access Control Service에서 제공하는 역할 클레임이있는 적절한 방법은 무엇입니까?

감사합니다.

편집 :

세부 사항을 요구 이전의 주석 : 우리는 자신의 Active Directory를 사용하여 제 3 자에게 우리의 클라우드 애플리케이션에 대한 액세스를 제공하고자이 (그들에 대한 사용자 관리를 단순화하기 위해). 우리의 어플리케이션에는 제 3자가 구성 할 수있는 정보에 대한 몇 가지 수준의 액세스 권한이 있습니다. 우리는 그들이 광고에서 (우리의 지시에 따라) 이것을 할 수 있기를 바랬습니다. 그룹은 명백한 선택처럼 보였습니다. 그러나 다른 방법이 있다면 지침을 제공 할 수만 있다면 작동 할 것입니다.

우리는 우리의 응용 프로그램이 사용자의 액세스 수준에 대한 클레임을 받기를 원합니다. Azure AD를 사용하는 파트너가 한 명 뿐인 경우 해당 끝점에 대해 그래프 API를 사용할 수 있지만 시간이 지남에 따라 여러 파트너가 변경되면 페더레이션 서버를 신뢰하기 위해 응용 프로그램을 페더레이션해야했습니다. 우리는 연합을 관리하기 위해 Azure ACS가 필요하다고 가정하고있었습니다.

출처

2014-10-10 No One

+1

[ACS는 더 이상 사용되지 않습니다.] (http://blogs.technet.com/b/ad/archive/2013/06/22/azure-active-directory-is-the-future-of-acs .aspx) – BenV

+0

감사합니다. 몰랐습니다. 우리 애플리케이션이 역할을 포함하여 STS로부터 클레임을 소비하기를 원한다면 우리는 ACS (또는 비표준 준수 그래프 API를 사용하여 사임)가 필요합니까? 하지만, 원래의 질문으로 돌아가 보겠습니다. Azure AD를이 체인의 어느 부분에서나 멋지게 만드는 방법은 무엇입니까? –

답변

1

AAD는 역할/그룹을 지원하며 Azure 포털에서 관리 할 수 ​​있습니다.

물론, 이러한 내용은 "미리 준비된"주장에 전달되지 않습니다.

그래프 API를 사용하여 예를 들어 변환해야합니다. Windows Azure Active Directory: Converting group memberships to role claims.

업데이트 :

ACS가 함께 연합 뭔가가 필요합니다. 고객의 광고를 ACS에 연결할 수는 없습니다. 광고 상단에 ADFS와 같은 것이 필요합니다.

클라우드 앱으로 간주됩니다. Azure에서 실행됩니까?

그런 다음 앱을 만드십시오. 멀티 테넌트. 고객이 Azure 세입자가있는 경우 작동합니다. 그래프 API 코드를 앱에 추가하기 만하면됩니다. ACS는 필요하지 않습니다.

고객은 DirSync를 실행합니다. 이것은 Azure 세입자를 동기화 상태로 유지합니다. 그들의 광고 변경.

그래서 두 가지 옵션 :

  • 고객은 푸른 임차인이 없습니다. ADFS를 설치하고 AAD와 연합합니다.

  • 고객은 Azure 세입자가 DirSync를 사용합니다.

출처

2014-10-12 22:15:04 nzpcmad

+0

감사합니다. 그래서 Azure Access Control Service가 그래프 API를 사용하여 ACS가 연합중인 Azure AD에 대한 클레임을 생성하도록 구성 할 수 있습니까? –

+0

나는 의심 스럽다. 이것은 코드가 아닌 구성이다. 당신은이 클라이언트 측을해야 할 것입니다. – nzpcmad

+0

그래서 연맹에서 사용하는 그래프 API에서 우리가 필요로하는 추가적 주장으로 증강 된 토큰을 생산하기 위해 제휴하고있는 Azure AD의 토큰을 소비하는 커스텀 STS가 필요합니까? 그게 미친 것 같아. –

0

그룹이 각 디렉토리 내에서 고유하기 때문에 그룹을 선택하지 않는 것이 좋습니다. 잘 알려진 이름을 가지고 문자열과 일치하는 그룹 세트를 고객이 정의하지 않는 한, 그룹의 오브젝트 ID는 이름이 같더라도 디렉토리마다 다릅니다.나는 Azure AD 팀에서 실제로 왔고 고객이 사용자에게 할당 할 수있는 역할을 앱에서 정의 할 수 있도록 기능을 공개 할 것을 진지하게 고려하고 있습니다. 계속 지켜봐주십시오. 그동안 불행히도 그룹 만이 갈 수있는 길입니다. 그래프를 사용하여 "GetMemberGroups"를 호출하여 사용자가 할당 된 그룹을 검색해야합니다.

이 애플리케이션을 출시하기위한 일정은 무엇입니까? 나에게 직접 연락하여 시나리오에 대해 작업 할 수 있는지 확인할 수 있습니다.

출처

2014-10-13 23:32:15

1

좋은 소식 : 우리는 최근 Azure AD의 응용 프로그램 역할 및 그룹 클레임 기능을 사용하도록 설정했습니다.

여기에 간단한 개요 가져 오기 : 응용 프로그램 역할에 http://blogs.technet.com/b/ad/archive/2014/12/18/azure-active-directory-now-with-group-claims-and-application-roles.aspx

깊은 다이빙 포스트 및 비디오 기능은 여기에 있습니다 : 응용 프로그램 역할에 http://www.dushyantgill.com/blog/2014/12/10/roles-based-access-control-in-cloud-applications-using-azure-ad/

깊은 다이빙 포스트 및 비디오 기능을 여기에 있습니다 : http://www.dushyantgill.com/blog/2014/12/10/authorization-cloud-applications-using-ad-groups/

희망 도움이됩니다.

출처

2014-12-27 00:35:16

+0

UI를 통해 앱 내의 사용자에게 여러 역할을 할당 할 수 있는지 여부를 확인하십시오. 그리고 매니페스트 파일 대신 사용 가능한 역할 목록을 관리 할 수있는 UI가 제공됩니다. –

 관련 문제

  • 관련 문제 없음^_^