Azure Active Directory - Zuordnung von Benutzer-/Gruppen-/Anwendungsregistrierungen für JWT-Generierung

Question

Ich habe eine Azure-Funktionsanwendung (API) mit einer App-Registrierung in Azure Active Directory (AAD) verknüpft, die einige benutzerdefinierte Rollen über das Manifest verfügbar macht.

Eine Client-App-Registrierung in AAD kann die API hinzufügen und aus ihren benutzerdefinierten Rollen Berechtigungen auswählen. Auf diese Weise kann die Clientanwendung AAD aufrufen, um eine JWT abzurufen, die diese benutzerdefinierten Rollen enthält, die dann während der JWT-Überprüfung von der nachgeordneten Funktionsanwendung überprüft werden können.

• Ich würde die Client-App Registrierung gerne auch andere benutzerdefinierte Rollen API als Teil eines Unternehmens ‚Produktgruppe‘ (z. Produktgruppe Vertrieb sein kann, Dienstleistung, Finanzen etc.).

• Ich möchte AAD-Benutzer erstellen, die jedes B2B-Verbrauchersystem repräsentieren, und sie mit einer Gruppe verknüpfen, die auf die 'Produktgruppe' eines Unternehmens ausgerichtet ist.

Daher kann ein Benutzer (B2B Verbraucher-System) sollte in der Lage sein, eine JWT zu beantragen, die benutzerdefinierten Rollen für alle APIs in der Produktgruppe umfasst. Ich brauche die JWT, um Informationen des Verbrauchersystems aufzunehmen, da es für die Downstream-Funktions-App verfügbar sein muss.

Was ist der beste Weg, dies zu erreichen?

Answer 1

Das Beste, was wir uns vorstellen können, ist das Erstellen von App-Registrierungen mit benutzerdefinierten Rollen im Manifest, die jede Produktgruppe repräsentieren. Diese App-Registrierungen sind vollständig unabhängig von einer bestimmten Implementierung einer Funktions-App (API).

Dann haben wir eine Client-App-Registrierung für jedes B2B-Verbrauchersystem, das die erforderlichen benutzerdefinierten Rollen aus der übergeordneten App-Registrierung der Produktgruppe importiert.

Die Downstream-Funktions-Apps (APIs) führen dann die Verarbeitung basierend auf den Rollen aus, die aus dem JWT extrahiert wurden.