azure - 基于 Azure AD 组的登录和 MS 图形 API

问题描述

我有 Angular 4 SPA、Web API(.net core 2.0) 和 Azure AD

我的要求是：

1.将 SPA 的身份验证（登录）限制为仅某些 azure AD 组。例如，我有两个组“销售”和“营销”，如果用户是两个组中的任何一个组的成员，那么只有用户应该能够登录

2.一旦用户登录，他就可以使用Microsoft Graph API对其他用户进行某些管理操作

我的方法

• 为了实现要求#1，我正在考虑实现与 Azure AD 对话的身份服务器。然后 SPA 将使用身份服务器作为 IP 使用隐式流进行身份验证
• 为了达到要求#2，我认为我需要使用 Oauth 2.0 授权代码流或 OAuth 2.0 客户端凭据授权，并且我的 web api(.net core 2.0) 将充当机密客户端，它拥有自己的访问令牌来执行管理操作使用 MS 图形 API
• 因此，一旦用户登录，流程将是 SPA（具有访问令牌以在 Web api 中授权）=> Web API（具有另一个具有高权限的访问令牌）=> MS 图 API => Azure AD

问题

• 我在正确的实施路径上吗？
• 如果没有，你能指导我正确的方向吗？

标签： azureazure-active-directorymicrosoft-graph-apiasp.net-core-2.0asp.net-core-webapi