rbac 角色在 azure 中的嵌套程度如何?特别是使用 ADLS GEN2 存储容器的存储帐户?

How nested can rbac roles be in azure? Specifically a storage account using ADLS GEN2 storage containers?

所以在 Azure Active Directory 中,当我将一个组添加到企业应用程序的“用户和组”时,我注意到它警告说它只适用于直接在组中的用户,并且不会像组一样级联权限已添加,该组有一个组,该组有他们不会获得权限的用户。仅添加的直接组中的用户。

所以这让我想知道这是否适用于 ADLS GEN2 存储容器等 Azure 存储帐户等项目中的 rbac 权限,方法是转到容器 > 访问控制 (IAM) > 角色分配,然后将组添加到让我们说“存储 Blob 数据贡献者”。然后该组有一堆用户,但也有其他组添加到它然后有用户。我知道直接在该组中的用户将获得权限,但嵌套在第一组中的组中的用户是否也会获得这些权限?

不确定这些权限的行为是否与我在企业应用程序中看到的一样,或者它们的行为是否不同(支持嵌套)?当我去添加时,我没有看到任何警告,所以对此不确定。

如果没有人知道,我只需要设置一个没有权限的帐户,然后尝试将其添加到组中,然后尝试从组中删除,然后添加到嵌套组中,然后尝试看看会发生什么。如果可行,请尝试深入 2-4 个级别,看看会发生什么。

Azure Warning when adding a group to "Users and Groups" of an Enterprise Application

是的,正如您看到的通知,当您将组分配给应用程序时,只有该组中的用户才能访问。分配不会级联到嵌套组。

基于组的分配需要 azure ad premium P1 或 P2。并且仅安全组支持基于组的分配,当前不支持嵌套组成员身份和 Microsoft 365 组。

在 RBAC 中,角色分配对于组是可传递的,这意味着如果用户是组的成员并且该组是另一个具有角色分配的组的成员,则该用户将拥有该角色的权限作业。

Reference