Da Azman nun nicht mehr unterstützt wird, müssen wir eine neue Möglichkeit zur Konfiguration der Zugriffssteuerung für unsere Anwendungen finden.Zuordnung alter Azman-Operationen und Rollen zu ADFS-Anforderungen
Gegenwärtig haben wir in Azman eine Liste von "Operationen", z.B. CanReadForm, CanEditForm. Diese Vorgänge können einer oder mehreren Rollen zugeordnet werden, sodass Sie eine Reihe von "Dingen, die eine Rolle tun kann" erstellen können. Benutzern wird im Allgemeinen eine einzelne Rolle zugewiesen und sie haben eine Liste von Vorgängen oder "Dinge, die ein Benutzer tun kann"
Dies funktionierte gut, weil Azman bei der Anmeldung wusste, welche Rolle sie hatten, und eine Liste von Vorgängen übergeben . Der Code könnte dann beispielsweise so konfiguriert werden:
if(currentUser.HasOperation("CanEditForm"))
{
//allow editing of form
}
Für ADFS ich kämpfen, um zu verstehen, wie wir eine Liste von Operationen haben können, dass wir zu einer Rolle zuordnen. Vermutlich könnte man eine Liste von Behauptungen haben, die wie Azman-Operationen aussehen könnten, aber diese nur einem Benutzer zuordnen - richtig? Können Sie beispielsweise einer Active Directory-Gruppe eine Liste von Ansprüchen zuordnen? Wenn Sie könnten, würde die Active Directory-Gruppe als "Rolle" fungieren. Wenn ja, müssten Sie für jede AD-Gruppe eine neue Anspruchsliste erstellen?
Kann mir jemand einen Rat geben?
Danke dafür, war nützlich zu lesen. Können Sie bestätigen, dass nur Benutzer "Ansprüche" haben können? nicht Rollen/AD-Gruppen? Wenn dies der Fall ist, dann ist ADFS wahrscheinlich nicht der Autorisierungsmechanismus, nach dem ich suche. – Calanus
Ein Claim kann ein beliebiges Attribut in AD enthalten. Dazu gehören Sicherheitsgruppen. Normalerweise werden Sicherheitsgruppen einem Anspruch vom Typ "Rolle" zugeordnet. – nzpcmad