authentication - Azure B2C 授权（非身份验证）

我已经使用 PKCE 实现了 Azure B2C 身份验证解决方案，但现在想将其连接到类似于 MS Identity Server 模型中的角色的授权服务。

您需要“推出自己的”解决方案吗？例如; 一旦用户通过身份验证，我需要确定他们是否具有管理员权限、读/写或只读访问权限。范围不支持这种粒度级别。

标签： authenticationauthorizationazure-ad-b2c

是的。我们需要推出自己的解决方案。

没有可获取组/目录角色信息的开箱即用 AAD B2C 解决方案。

我们可以通过自定义 (IEF) 策略使用自定义代码在 B2C 中获取组声明。我们可以利用REST API 声明集成和Microsoft Graph。在自定义策略中添加新的声明类型“组”并调用 Microsoft Graph 以获取用户组。这是一个示例供您参考。

如果您使用的是用户流，则可以考虑自定义属性。例如，创建一个名为AADRole. 将真实的 AAD 角色作为值分配给不同的用户，然后在 B2C 用户登录后从 id 令牌中获取声明。有关更多详细信息，请参阅此答案。