- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我使用 Azure 中的应用注册创建了一个受 OAuth 保护的 API。我的应用程序注册不需要分配,但它公开了底层 API 验证的许多角色。据我了解,这几乎完成了与需要批准相同的事情。
到目前为止,我只有用户/组角色,但现在我添加了一个供集成商使用的应用程序角色,并且我希望其他应用程序所有者能够请求对我的 API 的权限。作为 API 所有者,我希望查看这些内容并拒绝或同意该请求。例如。我不希望每个人都能够在我不知情的情况下访问租户内的我的 API,就像所有用户/组在我将其分配给角色后都无权访问一样。
Role-based access control for application developers文档非常清楚谁管理访问:
...an application developer defines roles rather than authorizing individual users or groups. An administrator can then assign roles to different users and groups to control who has access to content and functionality.
但是,如果您创建一个角色并将允许的成员类型设置为应用程序,那么事情就不太清楚,并且它的行为似乎更像是一个范围,我放弃了任何访问管理。另外,根据我有限的理解,当 API 需要向用户请求数据(例如想要读取他们的用户名)时,会使用范围,而角色则用于应用程序开发人员控制对其正在开发的内容的访问。
同一页面提到了以下信息:
The "Admin consent required" column shows the default value for an organization. However, user consent can be customized per permission, user, or app. This column may not reflect the value in your organization, or in organizations where this app will be used.
以及:
Applications are authorized to call APIs when they are granted permissions by users/admins as part of the consent process
但是,从我的阅读来看,作为 API 所有者,这似乎从未让我深入了解谁有权访问我拥有的 API。我想要控制应用程序访问,就像在企业应用程序中为组或用户分配角色一样。
当另一端是应用程序而不是用户时,可以实现这一点吗?如果不是,我如何允许应用程序以受控方式集成?
最佳答案
我想解释一下 Azure ad 提供给 protect web api 的功能在这里。
如您所知,我们通常在请求 header 中使用 token 来让 api 检查请求是否具有访问 api 的正确权限。例如,如果请求来自允许的用户角色,对吧?所以整个过程应该是身份验证和授权。用户首先登录,然后尝试生成访问 token 来访问 api。 Azure AD 具有类似的架构。
如果您有一个 Web 应用程序(例如 Web mvc 应用程序),您可以将 Azure AD 集成到其中,然后您可以允许用户使用他们的 <a href="https://stackoverflow.com/cdn-cgi/l/email-protection" class="__cf_email__" data-cfemail="6c191f091e5d2c141442030201050f1e031f030a18420f0301" rel="noreferrer noopener nofollow">[email protected]</a>
如果您有 Web api 项目,还可以集成 Azure ad 并添加 [Authorize]
Controller 上方的属性,以便传入请求应包含正确的承载 token ,我们称之为 access token .
对于 Azure AD,我们通常有 2 个选项,verification scopes or app roles 。这是由于我们用于生成访问 token 的不同流程造成的。例如,我们使用auth code flow登录用户并生成包含 scp
的访问 token 已批准的 claim delegated
API 权限。我们使用 client credential flow让应用程序生成包含 roles
的访问 token 代表它被授予的声明 application
API 权限。 简而言之,当我们设置[Authorize]
时+ [RequiredScope(scopeRequiredByApi)]
在 Controller 中,当我们设置 [Authorize(Roles = "roleRequiredByApi")]
时,它允许来自用户的请求(用户登录应用程序并调用 api)。 ,它允许来自应用程序的请求(没有用户登录,应用程序自行调用api)。
这里scopeRequiredByApi
和roleRequiredByApi
是您暴露然后添加到 App Registration > Permissions
的内容。就像 Integrator
你在截图中标注的,可以识别为roleRequiredByApi
因为它的类型是Application
.
恐怕roles
不是您想要的,但说实话,我所说的是 AAD 可以为您做的事情...而且我认为我上面提到的有关验证范围或应用程序角色的文档将是您的一个很好的示例。
关于azure - Azure AD 应用程序注册中应用程序角色和范围之间的差异,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/74125779/
我从NVIDIA手册Eg中复制了以下代码:__threadfence()。他们为什么有 在以下代码中使用了__threadfence()。我认为使用__syncthreads()而不是__thread
我在使用 SVN 更改列表和 svn diff 时遇到了一些麻烦.特别是我想获取特定修订范围的特定文件列表的更改历史记录。 SVN 变更列表似乎是完美的解决方案,所以我的方法是: svn change
我有两个 IP 地址列表。我需要将它们合并到三个文件中,交集,仅来自 list1 的文件和仅来自 list2 的文件。 我可以用 awk/diff 或任何其他简单的 unix 命令来做到这一点吗?如何
假设自上次更新(恢复)到我的 a.b 文件以来我做了一些更改。 此 a.b 文件也在存储库中更改。 现在我想将我所做的更改与 repos 更改进行比较。 如果我 svn revert 文件,我可以看到
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题,以便用事实和引用来回答。 关闭 7 年前。
我使用的是 openssl 1.0.1c , linux x86_64 我正在创建包含“hello”的文件(没有换行符) openssl dgst -sha256 hello_file i get :
假设我们有几个库。 有什么区别核心和 普通 图书馆?他们应该如何被认可,我们是否组织了两者的职责? +Common -Class1 +Core -Class2 +Lib1 has : Comm
如何在 SQLite 中计算以毫秒为单位的最小时间间隔? 好的,提供一些背景信息, 这是我的 table 的样子: link_budget table 所以有这个时间列,我想发出一个请求,以毫秒为单位
我想知道,乐观并发控制 (OCC) 和多版本并发控制 (MVCC) 之间的区别是什么? 到目前为止,我知道两者都是基于更新的版本检查。 在 OCC 中,我读到了没有获取读取访问锁的事务,仅适用于以后的
说到 SignalR,我有点菜鸟。刚刚开始四处探索和谷歌搜索它,我想知道是否有人可以向我解释完成的事情之间的一些差异。 在我见过的一些示例中,人们需要创建一个 Startup 类并定义 app.Map
我在 Ogre 工作,但这是一个一般的四元数问题。 我有一个对象,我最初对其应用旋转四元数 Q1。后来,我想让它看起来好像我最初通过不同的四元数 Q2 旋转了对象。 我如何计算四元数,该四元数将采用已
我了解 javascript 模块模式,但我使用两种类型的模块模式,并且想从架构 Angular 了解它们之间的区别。 // PATTERN ONE var module = (function()
我有两个具有完全相同键的 JSON。 val json1 = """{ 'name': 'Henry', 'age' : 26, 'activities' : {
我发现使用 VBA 在 Excel 中复制单个文件有两种不同的方法。一是文件复制: FileCopy (originalPath), (pathToCopyTo) 另一个是名称: Name (orig
我想知道查找两个 float 组之间差异的绝对值的最有效方法是什么? 是否是以下内容: private float absDifference(float[] vector1, float[] vec
我有一个关于 wicket getApplication 的问题。 getApplication() 和 getSession().getApplication 有什么区别? 部署 wicket 应用
我刚刚开始使用activemq,我有一个关于追溯消费者的问题,为了启用这个功能,你需要有一个持久的订阅。但是在主题上启用和不启用追溯的持久订阅有什么区别? activemq 文档说。 http://a
我有两个具有完全相同键的 JSON。 val json1 = """{ 'name': 'Henry', 'age' : 26, 'activities' : {
得到另一个 Erlang 二进制表示查询('因为这就是我最近正在阅读的内容,并且需要二进制协议(protocol)实现)。 如果我正确理解了类型说明符,那么对于“浮点”类型值,8 字节表示似乎很好(这
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 4 年前。 Improve this ques
我是一名优秀的程序员,十分优秀!