博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
移动服务和 Azure Active Directory 中基于角色的访问控制
阅读量:6319 次
发布时间:2019-06-22

本文共 2331 字,大约阅读时间需要 7 分钟。


编辑人员注释:本文章由 Matthew Henderson撰写

去年 11月,我们 Azure Active Directory (AAD) 预览版作为移动服务身份提供程序。此举旨在为企业开发人员提供简单易用的解决方案,以构建面向员工的移动应用程序。作为起点,使用基本身份验证是一个很好的选择。但在很多情况下,目前的预览版客户需要对各种类型的用户加以区分,以便做出适当的授权决定。基于角色的访问控制 (RBAC) 的思路是为用户可以担任的角色分配权限,从而恰当定义界限来限定某类用户可以执行和不可执行的操作。幸运的是,向 Azure移动服务添加基本 RBAC功能非常简单。本文将为您演示如何实现这一点。

要继续阅读本文后面的内容,您需要注册移动服务预览版以进行 Azure Active Directory集成。如果您想注册,请发送电子邮件至 MobileServices@microsoft.com

背景

假设我想开发一个仅供销售团队使用的应用程序。要访问该应用程序,用户不仅必须是公司目录中的成员,而且要被分配到销售组。下面我们来看看,为了确保只有经过身份验证的销售团队成员才能访问该应用程序,需要在服务器端添加什么逻辑。(如果您刚刚开始在移动服务中使用 Azure Active Directory 身份验证,您会发现该很有帮助。)

我们将采用的基本方法是利用 Azure AD租户中用户的安全组成员身份。AAD同时具有角色和组的概念,但在今天的方案中,我们使用的是一个已拥有正确用户成员身份的现有组。我们将通过一个已与 Azure AD租户同步的内部部署 AD租户来管理这个组。使用 O365 Windows Intune的客户已经证实,通过设置和内部部署 Active Directory目录的同步,将使您拥有强大功能(您甚至可以使用这些租户构建移动服务)。

今天,我要使用的是密码同步选项,但实际上支持的方案有很多种。事实上,您可以将 AAD 设置为指向 ADFS,以支持大型混合方案。如果要尝试这些选项,可启动运行 Windows Server 2012 R2 Datacenter Azure VM并安装 Active Directory域服务角色,然后按照进行操作。

创建组

您可以看到,我已在自己的目录中创建了一些用户(AliceBobCarol Dave)和一个“Sales”域安全组。Alice Bob已经是该组的成员,但 Carol Dave尚未加入该组,因此应该没有权限访问我的应用程序。其他一切均为默认值。

连接到 Azure移动服务

现在,我已准备好开始构建我的应用程序后端。在 Azure移动服务中,我们希望在已提供的机制之上使用附加的授权逻辑来保护每个脚本和 API。为了进一步增强安全性,我将每个受保护端点的权限设置为“Only Authenticated Users”

我希望所构建的逻辑能够在多个脚本中执行,因此我将代码放在移动服务的的共享脚本部分。我将脚本命名为 rbac.js

要确定组成员身份,第一步需要获得对 AADgraph API的访问权限。介绍了如何进行此设置。您可从下面的代码段开始:

获得graph访问令牌后,我们需要调用graph端点。此操作将检查指定的用户是否是某个给定组的成员,包括可传递的成员身份。我们可从所检查的脚本中获取用户 ID -所有表脚本会显式接收用户对象,而您可以通过访问 request.user从自定义 API获得一个用户对象。另外,我们需要获取一个组 ID,该 ID 可以在管理门户中方便地获得。您可以转到 Azure AD租户,打开组选项卡并选择组,然后从 CONFIGURE选项卡中复制 OBJECT ID

为了便于使用,我们使用一个好记的名称从共享脚本中导出该值。

接下来,我们要编写一个函数来包装对 AAD isMemberOf端点的调用。如前所述,我们需要刚才获得的用户 ID (userID)和组 ID (groupID)。请求中还需要包含之前获得的访问令牌。

接下来,我们要稍微简化一下编程模型,只需要移动服务的用户对象(通过它可以获得 objectID)和组 ID即可。然后正确对其进行包装,以获得graph令牌并进行调用。请注意,在实际应用中,您可以选择缓存该令牌,而不必每次都提取。该令牌包含一个到期值,通过它可以判断何时应提取新的令牌。

对于共享脚本,需要做的就是这些。接下来,对于要使用 RBAC保护的每个脚本,我只需添加几行代码,然后在回调中执行脚本的工作即可。下面是表读取操作的一个示例:

总结

大功告成了。我们已成功限制只有部分有需要的员工才可以使用该应用程序。现在,您可以开始构建各种 RBAC 方案。如果您需要将某些用户的客户端 UI与其他用户区别开来,一个简单的实现方法是将成员身份检查公布为自定义 API,您可在用户登录后立即执行此检查。

Azure Active Directory正在利用组支持实现一些很棒的功能,并且很多可以直接在管理门户中完成。AAD高级版用户应深入了解全新的

如果您对企业移动应用程序开发感兴趣,建议同时了解一下全新的移动服务。该预览版目前尚未内置 AAD 支持,但是不用担心,我们很快便会提供此项支持。

另外再次提醒,如果您对 AAD预览版感兴趣或者有任何疑问,请发送电子邮件与我们联系:

如果您希望我们介绍一些其他的功能或方案,请将反馈意见提交至我们的网站。

本文翻译自:

转载于:https://www.cnblogs.com/wuwa/p/6191969.html

你可能感兴趣的文章
ubuntu 删除自带软件的方法
查看>>
[转]什么?你还不会写JQuery 插件
查看>>
OpenCV学习:Mat结构中的数据共享机制
查看>>
JFreeChart应用实例-折线图
查看>>
06:整数奇偶排序
查看>>
虚拟内存(VirtualAlloc),堆(HeapAlloc/malloc/new)和Memory Mapped File
查看>>
jsp+servlet+jdbc实现对数据库的增删改查
查看>>
here文档 here doc EOF重定向
查看>>
浅谈接口自动化测试
查看>>
TCP/IP(七)之玩转HTTP协议
查看>>
复杂可编程逻辑器件CPLD的基本结构
查看>>
mybatis下的分页,支持所有的数据库
查看>>
windows下面安装Python和pip终极教程
查看>>
Spring AOP中级——应用场景
查看>>
扩展Microsoft Graph数据结构(开放扩展)
查看>>
BZOJ 4236~4247 题解
查看>>
maven学习(上)- 基本入门用法
查看>>
《算法导论》读书笔记(二)
查看>>
可设置指定时间自己主动消失的 MessageBox实现
查看>>
Two Heads Are Often Better Than One
查看>>