Azure AD - 子项目的特定角色

Question

我希望使用 Azure Active Directory 开发一个应用程序，主要是因为它内置支持 Web API 和各种 Azure 工具中的轻松身份验证。

我的应用程序将由多个项目组成，每个项目又包含多个子项目。完成身份验证后，我现在正在尝试弄清楚如何使用 Azure AD 处理授权。我设想每个子项目 (5-10) 都会有不同的角色，人员会根据每个子项目分配给这些角色。

现在，我知道 AD 支持角色和组。角色是权限集，组是用户集。虽然我可以为每个子项目创建一个组，但我预计某些角色可能会根据每个较大的项目而有所不同，因此我不能只检查给定用户是否分配到 X 组并Y角色。更不用说，因为一个用户可以被分配到多个组和角色，所以我看不到一种方法来指定该角色仅适用于单个组(因为用户可能不打算在所有组)。

因此，我现在看到的前进的唯一方法是每次创建特定于每个项目的新项目和子项目时创建新角色。然而，随着这些项目和子项目随着时间的推移被创建和删除，我预计我们将开始达到 AD 支持的角色数量上限(特别是在每个用户的基础上)。

在传统的 Active Directory 中，我希望这可以通过组织单位来处理，组织单位可以代表每个项目和每个子项目，每个项目都分配有角色和组。然而，根据https://learn.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-admin-guide-create-ou Azure AD 不支持组织单位，并且无法通过 AD Graph API 进行分配。

使用 Azure AD，除了每个子项目的独特角色之外，目前还有更好的方法吗？

谢谢!

编辑以获取更多信息:

目前 Azure AD 支持组和角色。假设我有两个项目 A 和 B，每个项目都有两个内部子项目 A1 和 A2、B1 和 B2。此外，我希望为一个用户分配 A1 上的管理员角色、B2 上的高级用户角色，并且无权访问 B2 或 A1。

看来我可以为 A1、A2、B1 和 B2 创建一个组，然后简单地将用户分配到 A1 和 B2 组。在后端，我可以指定用户应该在这些组中，并拒绝任何不在这些组中的人的访问。

好的，这样就可以处理组访问，但是我想分配角色。我可以授予他们管理员和高级用户权限，但随后他们将在其所在的两个组中同时拥有这两个角色，因为我无法在组上下文中分配这些角色。

我能看到的唯一其他方法是为每个组创建不同的角色，所以现在我有“Admin-A1”、“Power User-A1”、“Admin-A2”、“Power User-A2” 、“Admin-B1”、“Power User-B1”、“Admin-B2”和“Power User-B2”，但这会随着时间的推移大大增加我的对象数量(50 个项目，每个项目有 10 个子项目， 8 个角色将在那里开始工作，尽管 50 万是相当高的阈值)。

我预见到拥有如此多的角色会带来可维护性问题。由于我无法将角色与组关联起来，只能指定其显示名称和描述(两者对于项目所有者在分配它们时查看都很有用)，您建议我如何在后端识别哪些角色与哪个项目相关联(无需保留我自己的指南列表来存储额外的属性)？有没有办法提交带有角色/组的自定义属性？

Answer 1

您正在开发什么样的角色？您指的是应用程序角色吗？

根据我的理解，我们可以在Azure门户上为每个子项目注册一个单独的应用程序，并根据我们注册的每个应用程序自定义角色，并将角色分配给我们想要的用户/组。并且此角色应该仅适用于应用程序的相应项目。

有关基于角色管理应用程序的更多详细信息，您可以引用代码示例 here .

, I expect we'll start hitting the upper caps of how many roles AD supports altogether (especially on a per-user basis).

对于单个用户的角色没有这样的限制。但如果您使用的是免费版Azure AD，它支持500,000个对象。对象是目录服务中的一个条目，由其唯一的专有名称表示。这里有两个有用的链接供您引用:

Azure AD service limits and restrictions

Azure Active Directory editions