我有一个链接到Azure Active Directory(AAD)的App Registration(AAD)的Azure Function App(API),该应用程序通过清单公开了一些自定义角色。
AAD中的客户端应用程序注册可以添加API并从其自定义角色作为权限中选择。这允许客户端应用程序调用AAD获取包括这些自定义角色的JWT,然后在JWT验证期间可以通过下游函数应用检查。
-
我希望客户应用程序注册还包括其他API的自定义角色作为公司"产品组"的一部分(例如,产品组可能是销售,服务,金融等)。
-
我想创建代表每个B2B消费者系统的AAD用户,并将其链接到与公司"产品组"保持一致的组。
因此,用户(B2B消费者系统)应能够请求包括产品组中所有API的自定义角色的JWT。我需要JWT包括消费者系统的信息,因为它需要可用于下游功能应用程序。
实现这一目标的最佳方法是什么?
我们能想到的最好的是创建具有自定义角色的应用程序注册,以表示每个产品组。这些应用程序注册完全独立于任何特定功能应用程序(API)实现。
然后,我们对每个B2B消费者系统都有一个客户端应用程序注册,该系统从其母公司产品组应用程序注册中导入所需的自定义角色。
下游函数应用程序(API),然后根据从JWT提取的角色进行处理。