基于每个用户限制 AzureAD (Entra) 的 OIDC

问题描述 投票:0回答:1

我有一个外部应用程序想要通过使用 OIDC 与 Azure AD 集成来实现用户的单点登录,以便用户可以使用其公司 Microsoft 帐户登录到此外部 Web 应用程序。

我的问题是:是否可以设置每个用户策略以允许 OIDC 登录,以便只有一小部分用户可以使用其 AD 帐户登录外部应用程序?例如仅让特定 AD 组中的用户授权此外部应用程序? 示例:

    [电子邮件受保护]
  • [电子邮件受保护] 都是 EXT_APP_GROUP 的成员。 使用 OpenID Connect 授权代码流的外部应用程序调用 OIDC 连接 URL 来授权用户。
  • [电子邮件受保护]
  • 尝试登录外部应用程序,但由于该用户不是 AD 中 EXT_APP_GROUP 组的成员,因此使用 OIDC 调用 AzureAD 来授权该用户失败。
    • [电子邮件受保护]
  • [电子邮件受保护] 能够使用 OIDC 登录外部应用程序。
    • 这可能吗?

azure-active-directory openid-connect microsoft-entra-id
1个回答
0
投票

客户端重定向到授权服务器(AS)
  • AS 运行登录方法,例如通过使用外部身份提供商(IDP)
  • AS 运行一个自定义操作来检查用户属性以决定是否允许特定用户访问
    • IDP 将允许任何有效用户进行身份验证。是否授予他们访问权限是一个授权问题。

我认为 Azure AD 不支持运行上述类型的自定义操作。不过,您也许可以使用

身份验证方法策略

来限制对特定组成员的访问。 如果您的AS不支持拒绝访问,您可以在登录应用后处理授权失败的情况。例如,确保 API 根据组成员身份拒绝访问。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.