azure - 为角色和产品设置广告

问题描述

我正在 Azure 中构建一个应用程序，该应用程序将公司 AD 用于公司员工的 IDAM。我们打算有一个模型，其中有用户的特定角色，例如用户管理员、销售等。这些在应用程序 (RBAC) 中提供了某些功能。但是，我们在平台上也有不同的产品也需要代表。因此，您可能拥有产品 A 的销售角色，但没有产品 B。这意味着您拥有销售能力，但仅限于产品 A 的一部分资产。永远不会出现您对产品具有不同角色的情况. 所以你不会是产品 A 的管理员，也不是产品 B 的销售人员。所以我正在寻找一些关于在 AD 中建模的最佳方法的建议。对此是否有既定的最佳实践？

我可以想到一些选择：-

1) 笛卡尔积

将产品和角色的每个排列创建为 AD 组。例如 Admin-ProductA、Admin-ProductB、Sales-ProductA 等。这给了我最大的灵活性，但它非常冗长。

2) 角色和产品作为组

为每个角色创建 AD 组，例如管理员、销售等。然后将每个产品建模为一个组，例如 ProductA、ProductB 等。然后在应用程序级别检查是否存在正确的角色和产品组合。

3) 别的？

我不是广告专家，所以很可能在这里遗漏了一些东西。因此，任何建议将不胜感激。

干杯

标签： azureactive-directory