是否可以为 Azure AD 中的用户或组分配多个角色?

Is it possible to assign multiple roles to a user or group in Azure AD?

当我在 Azure AD 中将 appRoles 部分添加到我的应用程序清单时,我可以将用户和组分配给管理门户中的角色。

  "appRoles": [
    {
      "allowedMemberTypes": [
        "User"
      ],
      "description": "Can read data.",
      "displayName": "Data Reader",
      "id": "67fba7fa-e54e-4258-b95d-32b082eb771d",
      "isEnabled": true,
      "value": "reader"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "description": "Can create and edit data.",
      "displayName": "Data Writer",
      "id": "e36736c5-e923-435e-8e44-6cae90792931",
      "isEnabled": true,
      "value": "writer"
    }
  ],

但是,UI 只允许我将单个角色分配给用户或组。

我找不到如何为用户或组分配多个角色。我可以将用户添加到多个组并为该组的成员分配角色,这将导致该用户在令牌中声明多个角色,但这看起来很尴尬。

我错过了什么吗?有没有办法为一个用户或组分配多个角色?

事实证明这是 Azure management portal. In this blog comment 的限制,AAD PM 解释说可以通过 GraphAPI 为用户或组分配多个角色。

有关详细信息,请参阅此 MSDN blog article 中的“分配应用程序角色”部分。

您可以在同一个应用中为同一个用户分配多个角色,但这是非常有限的。基本上再次添加相同的用户和 select 不同的角色:

该机制非常繁琐,无法扩展。如果你有 AAD Premium Lvl 2,你可以将应用程序角色与组相关联,当你将用户分配给该组时,他们将自动获得角色。不过,自动分配仅适用于 Premium Lvl 2。