已忽略 Azure Active Directory 分配的用户
Azure Active Directory Assigned Users Ignored
我已按照 https://github.com/AzureADSamples/WebApp-OpenIDConnect-DotNet 中的指南将 Azure 身份验证添加到我的 ASP MVC 应用程序中。它的工作原理是将访问权限限制为仅在域中拥有帐户的用户。非用户被拒绝。
但是,Azure 管理站点中有一项设置允许您将用户分配给应用程序。此设置似乎没有做任何事情。域中的所有用户都可以访问网站,即使他们没有分配给应用程序。
我正在寻找一种方法 select 允许哪些用户访问可以在 Azure 域级别管理的站点。
任何帮助将不胜感激...
确实有点乱。将用户分配给应用程序的行为会导致应用程序图标(带有徽标)出现在用户的访问面板 (myapps.microsoft.com) 中,用户可以从中轻松登录应用程序。对于一些预先集成的应用程序,如 salesforce 和 box,还会在应用程序中创建用户配置文件。
然而,对于传统的单租户和多租户应用程序,分配用户的行为并不会阻止未分配的用户获得应用程序的令牌。这是我们计划在未来的版本中(作为配置选项)提供给应用程序管理员的东西。
然而,为了满足您当前的需要,您可以(代表用户)查询目录中分配给您的应用程序的所有用户和组,或者您可以(代表用户)查询所有使用以下 API 分配给用户的应用程序:
查询分配给应用程序的所有用户和组:
HTTP GET https://graph.windows.net/7fe877e6-a150-4992-bbfe-f517e304dfa0/servicePrincipals/7758ff7a-9c65-4779-af33-f2c2f35aec2
0/appRoleAssignedTo?api-version=1.5
其中 7fe877e6-a150-4992-bbfe-f517e304dfa0 是目录的 tenantId(也可以是目录的域名),7758ff7a-9c65-4779-af33-f2c2f35aec2 是服务主体的 objectId表示该目录中的应用程序。
查询用户分配到的所有应用程序:
HTTP GET https://graph.windows.net/7fe877e6-a150-4992-bbfe-f517e304dfa0/users/3a477f6a-6739-4b93-84aa-3be3f8c8e7c2/appRoleAssignments?api-version=1.5
其中7fe877e6-a150-4992-bbfe-f517e304dfa0是目录的tenantId(也可以是目录的域名),3a477f6a-6739-4b93-84aa-3be3f8c8e7c2是用户对象的objectId .
我正在使用 AADGraphPowerShell 查询我的目录 - 这里是上述查询的结果:
希望这对您有所帮助。
我已按照 https://github.com/AzureADSamples/WebApp-OpenIDConnect-DotNet 中的指南将 Azure 身份验证添加到我的 ASP MVC 应用程序中。它的工作原理是将访问权限限制为仅在域中拥有帐户的用户。非用户被拒绝。
但是,Azure 管理站点中有一项设置允许您将用户分配给应用程序。此设置似乎没有做任何事情。域中的所有用户都可以访问网站,即使他们没有分配给应用程序。
我正在寻找一种方法 select 允许哪些用户访问可以在 Azure 域级别管理的站点。
任何帮助将不胜感激...
确实有点乱。将用户分配给应用程序的行为会导致应用程序图标(带有徽标)出现在用户的访问面板 (myapps.microsoft.com) 中,用户可以从中轻松登录应用程序。对于一些预先集成的应用程序,如 salesforce 和 box,还会在应用程序中创建用户配置文件。
然而,对于传统的单租户和多租户应用程序,分配用户的行为并不会阻止未分配的用户获得应用程序的令牌。这是我们计划在未来的版本中(作为配置选项)提供给应用程序管理员的东西。
然而,为了满足您当前的需要,您可以(代表用户)查询目录中分配给您的应用程序的所有用户和组,或者您可以(代表用户)查询所有使用以下 API 分配给用户的应用程序:
查询分配给应用程序的所有用户和组:
HTTP GET https://graph.windows.net/7fe877e6-a150-4992-bbfe-f517e304dfa0/servicePrincipals/7758ff7a-9c65-4779-af33-f2c2f35aec2
0/appRoleAssignedTo?api-version=1.5
其中 7fe877e6-a150-4992-bbfe-f517e304dfa0 是目录的 tenantId(也可以是目录的域名),7758ff7a-9c65-4779-af33-f2c2f35aec2 是服务主体的 objectId表示该目录中的应用程序。
查询用户分配到的所有应用程序:
HTTP GET https://graph.windows.net/7fe877e6-a150-4992-bbfe-f517e304dfa0/users/3a477f6a-6739-4b93-84aa-3be3f8c8e7c2/appRoleAssignments?api-version=1.5
其中7fe877e6-a150-4992-bbfe-f517e304dfa0是目录的tenantId(也可以是目录的域名),3a477f6a-6739-4b93-84aa-3be3f8c8e7c2是用户对象的objectId .
我正在使用 AADGraphPowerShell 查询我的目录 - 这里是上述查询的结果:
希望这对您有所帮助。