我们正在尝试使用AzureAD作为亚马逊的Web Services的IDP,并为我们的用户角色转换的能力,基于其AD组成员访问的其他账户/水平。
下面是一个链接,给我们提供了什么使用ADFS之后。巧妙地命名为AD组被转换成可以被传递,索赔AWS角色。
具体而言,与ADFS实现这部分是自定义声明变换添加依赖方信任角色时,你可以做。
不幸的是,我们必须使用AzureAD而不能使用ADFS,此刻,我们不能找到一种方法,使用正则表达式转换来获得我们所能结果与ADFS。
任何人都可以告诉我们的方法,或者这是否可能?
谢谢!
我不认为这是可能的。
然而,什么可以做,就是分配到组您在应用程序清单定义角色。这样,你不依赖于魔术字符串组名称为好。请注意,这确实需要支付许可作为基于组的访问管理不免费提供AAD。关于自由,你有用户角色单独分配给每个用户和用户只能有一个角色。随着集团化,你可以分配多个角色给用户。
更多信息:https://docs.microsoft.com/en-us/azure/active-directory/develop/howto-add-app-roles-in-azure-ad-apps