Active directory 第三方客户端如何获取和使用Active Directory/LDAP权限？_Active Directory_Ldap_Saml 2.0_Openid Connect

Active directory 第三方客户端如何获取和使用Active Directory/LDAP权限？

active-directory ldap

Active directory 第三方客户端如何获取和使用Active Directory/LDAP权限？,active-directory,ldap,saml-2.0,openid-connect,Active Directory,Ldap,Saml 2.0,Openid Connect,假设在广告中有一组名为writers的用户，他们可以执行权限write:document 在某些第三方客户端（如Node.js应用程序）中，是否有方法检索登录用户的write:document权限我一直在阅读，有人提到，该客户机上的用户将能够通过联合身份验证OIDC或SAML来获取JWT或SAML令牌，但我还没有看到该令牌是否具有类似于write:document的作用域例如：我基本上想知道第三方客户端如何检索和使用AD中已经设置的权限。您所说的“权限write:document”是什么意

假设在广告中有一组名为

writers

的用户，他们可以执行权限

write:document

在某些第三方客户端（如Node.js应用程序）中，是否有方法检索登录用户的

write:document

权限

我一直在阅读，有人提到，该客户机上的用户将能够通过联合身份验证OIDC或SAML来获取JWT或SAML令牌，但我还没有看到该令牌是否具有类似于

write:document

的作用域

例如：

我基本上想知道第三方客户端如何检索和使用AD中已经设置的权限。

您所说的“权限

write:document

”是什么意思？类似的权限在AD中不存在。该组存在于AD中。该权限在其他位置授予该组。如果需要，您可以从Node.js.Oh检查用户是否是该组的成员，这很有意义（从Node.js检查用户是否是该组的成员）。那么，对于“在其他地方授予该组权限”，您所说的“其他地方”是什么意思？我认为AD存储了这些组/角色及其权限。AD只存储用户和组。如果某个组被授予对某个对象的权限，则该事实将存储在该“对象”中。例如，文件的权限存储在该文件上。网站的权限存储在该网站中。在这些情况下，广告并不知道某个组已被授予访问该文件或网站的权限。