Azure Mobile App Service - Cordova mit C# -Backend mit Azure AD. Wie überprüft man Rollen?

Question

Ich habe die Azure-Authentifizierung funktioniert und kann den Zugriff auf Controller mit [Authorize] Attribute like in the documentation beschränken. Bis jetzt liebe ich es.

Ich werde jedoch einige Benutzer mit erhöhten Privilegien benötigen, und wir würden normalerweise eine AD-Sicherheitsgruppe verwenden. "Großartig!", Dachte ich, "Ich benutze einfach die [Authorize(Roles = "AD Security Group"]" und ich kann wieder an der Entwicklung der App teilnehmen!

Nun, ich lag falsch. Zwei Tage später und ich bin gerade im Kreis herumgegangen. Ich bin zu der Schlussfolgerung gekommen, dass der Rollenanspruch nicht von AAD zur Verfügung gestellt wird, daher enthält das ClaimsPrincipal keine Rollen und kann daher dem authorised-Attribut keine Informationen liefern.

Ich sehe viele ältere Informationen darüber (Azure Mobile App ist ziemlich neu) und es ist die Gewässer ziemlich durcheinander. Ist die aktuelle Lösung dafür, die AD Graph-API abzufragen, um die Rolleninformationen zu erhalten?

Oder vielleicht ein benutzerdefiniertes Attribut schreiben, um den /.auth/me Endpunkt zu rufen, um die Rolleninformationen zu erhalten?

Ich bin so verwirrt! Würde mir bitte jemand in die richtige Richtung zeigen?

Answer 1

Sie müssen etwas arbeiten, um die AAD-Gruppen in die Ansprüche zu bekommen. I wrote a blog darüber. Obwohl die Autorisierung in Node implementiert ist, ist die Konfiguration auf der AAD-Seite identisch.

In Bezug auf das Einholen der Autorisierungsrollen führt das Azure Mobile Apps Server-SDK dies derzeit nicht für Sie aus. (Ich denke, es ist eine gute Idee, so fühlen sich frei, um ein Problem auf our GitHub repository zur Datei)

Wenn Sie das Attribut selbst schreiben, ich die GetAppServiceIdentityAsync<>() Methode verwenden würde, um die Ansprüche zu bekommen - Abfrage nicht /.auth/ ich selbst.