我正在评估Azure B2C,但无法确定它是否适合以下情况:
我们有一个UI和一个Web API。该API定义了两个范围:read
和write
。
UI具有两种类型的用户:standard
和admin
。当用户登录并获得访问令牌时,他们都将获得read
范围,但只有admin
用户应获得write
。
从我读过的书中,Azure B2C不支持基于组的应用程序,但是是否有可能挂接到令牌生成(例如Function)并以编程方式添加自定义范围?我当时在想,如果我可以调用一个函数,那么这可以检查某些内容以查看是否应该添加write
范围。
谢谢
范围o scp
声明不能在B2C中处理。但是,您可以使用custom policies并添加(在基本策略中)并输出(在您的依赖方策略中)一个roles
claim type,以便您的webapi进行角色基础授权(.NET core sample here)。您可以从任何技术资料提供的roles
中填充output claims值,这些技术资料继而在任何已配置的Idp,AAD甚至REST API上进行中继。]