Azure AD是否支持自定义角色的多租户用户管理?自定义角色是指为托管在云中的web应用程序定义的角色。此外,还需要定义可以映射到自定义角色的自定义权限/授权。
ORG--角色--应享权利--用户
是的,AAD支持它,但并不完全支持。
我们可以在主租户中定义应用程序注册中的应用程序角色。然后将用户和组分配给应用程序角色。
之后,当被分配了应用程序角色的用户登录到您的应用程序时,您之前定义的应用程序角色将存在于其id令牌中。您可以在代码中解析它以获得角色。
但是AAD不支持自定义权限/授权。你应该用自己的方式来实现这一部分。例如,您可以在配置文件中设置应用程序角色和自定义权限的匹配列表。获取应用程序角色后,请在配置文件中查找其匹配的自定义权限。
关于如何让多租户用户使用此自定义角色,您只需要使用管理员同意url将此应用程序注册添加到客户的租户中。
https://login.microsoftonline.com/{tenant-id of customer's tenant}/adminconsent?client_id={client-id}
使用客户租户的管理员帐户登录,并为该租户进行管理员同意。然后,企业应用程序将存在于该租户中。现在,您可以直接将用户和组分配给应用程序角色。通过这种方式,来自客户租户的用户可以使用应用程序角色。