是否可以为 Azure AD 中的用户或组分配多个角色?
Is it possible to assign multiple roles to a user or group in Azure AD?
当我在 Azure AD 中将 appRoles
部分添加到我的应用程序清单时,我可以将用户和组分配给管理门户中的角色。
"appRoles": [
{
"allowedMemberTypes": [
"User"
],
"description": "Can read data.",
"displayName": "Data Reader",
"id": "67fba7fa-e54e-4258-b95d-32b082eb771d",
"isEnabled": true,
"value": "reader"
},
{
"allowedMemberTypes": [
"User"
],
"description": "Can create and edit data.",
"displayName": "Data Writer",
"id": "e36736c5-e923-435e-8e44-6cae90792931",
"isEnabled": true,
"value": "writer"
}
],
但是,UI 只允许我将单个角色分配给用户或组。
我找不到如何为用户或组分配多个角色。我可以将用户添加到多个组并为该组的成员分配角色,这将导致该用户在令牌中声明多个角色,但这看起来很尴尬。
我错过了什么吗?有没有办法为一个用户或组分配多个角色?
事实证明这是 Azure management portal. In this blog comment 的限制,AAD PM 解释说可以通过 GraphAPI 为用户或组分配多个角色。
有关详细信息,请参阅此 MSDN blog article 中的“分配应用程序角色”部分。
您可以在同一个应用中为同一个用户分配多个角色,但这是非常有限的。基本上再次添加相同的用户和 select 不同的角色:
该机制非常繁琐,无法扩展。如果你有 AAD Premium Lvl 2,你可以将应用程序角色与组相关联,当你将用户分配给该组时,他们将自动获得角色。不过,自动分配仅适用于 Premium Lvl 2。
当我在 Azure AD 中将 appRoles
部分添加到我的应用程序清单时,我可以将用户和组分配给管理门户中的角色。
"appRoles": [
{
"allowedMemberTypes": [
"User"
],
"description": "Can read data.",
"displayName": "Data Reader",
"id": "67fba7fa-e54e-4258-b95d-32b082eb771d",
"isEnabled": true,
"value": "reader"
},
{
"allowedMemberTypes": [
"User"
],
"description": "Can create and edit data.",
"displayName": "Data Writer",
"id": "e36736c5-e923-435e-8e44-6cae90792931",
"isEnabled": true,
"value": "writer"
}
],
但是,UI 只允许我将单个角色分配给用户或组。
我找不到如何为用户或组分配多个角色。我可以将用户添加到多个组并为该组的成员分配角色,这将导致该用户在令牌中声明多个角色,但这看起来很尴尬。
我错过了什么吗?有没有办法为一个用户或组分配多个角色?
事实证明这是 Azure management portal. In this blog comment 的限制,AAD PM 解释说可以通过 GraphAPI 为用户或组分配多个角色。
有关详细信息,请参阅此 MSDN blog article 中的“分配应用程序角色”部分。
您可以在同一个应用中为同一个用户分配多个角色,但这是非常有限的。基本上再次添加相同的用户和 select 不同的角色:
该机制非常繁琐,无法扩展。如果你有 AAD Premium Lvl 2,你可以将应用程序角色与组相关联,当你将用户分配给该组时,他们将自动获得角色。不过,自动分配仅适用于 Premium Lvl 2。