azure - 基于 Azure AD 组的登录和 MS 图形 API
问题描述
我有 Angular 4 SPA、Web API(.net core 2.0) 和 Azure AD
我的要求是:
1.将 SPA 的身份验证(登录)限制为仅某些 azure AD 组。例如,我有两个组“销售”和“营销”,如果用户是两个组中的任何一个组的成员,那么只有用户应该能够登录
2.一旦用户登录,他就可以使用Microsoft Graph API对其他用户进行某些管理操作
我的方法
- 为了实现要求#1,我正在考虑实现与 Azure AD 对话的身份服务器。然后 SPA 将使用身份服务器作为 IP 使用隐式流进行身份验证
- 为了达到要求#2,我认为我需要使用 Oauth 2.0 授权代码流或 OAuth 2.0 客户端凭据授权,并且我的 web api(.net core 2.0) 将充当机密客户端,它拥有自己的访问令牌来执行管理操作使用 MS 图形 API
- 因此,一旦用户登录,流程将是 SPA(具有访问令牌以在 Web api 中授权)=> Web API(具有另一个具有高权限的访问令牌)=> MS 图 API => Azure AD
问题
- 我在正确的实施路径上吗?
- 如果没有,你能指导我正确的方向吗?
解决方案
推荐阅读
- crash - How to check if @EnvironmentObject is set? (SwiftUI)
- windows - GNU make directory listing using $(shell dir ) command
- jinja2 - Access Pelican page and article metadata the same way?
- javascript - 使用 Enter 键(包括 select2)在元素之间切换
- html - 如何在表单字段下定位地图 div?
- elixir - 将 Ecto 片段提取到变量中
- shared-libraries - Blazor 共享组件未呈现
- mongodb - Mongoose 模型数据深于 1 级
- mysql - utf8_roman_520_ci 排序规则有什么令人反感的?
- javascript - 在 node.js 中编辑配置文件用户