Azure active directory Azure广告公司；图形API权限_Azure Active Directory

Azure active directory Azure广告公司；图形API权限

azure-active-directory

Azure active directory Azure广告公司；图形API权限,azure-active-directory,Azure Active Directory,我在Azure中为不同的web应用程序分配了各种图形权限。是否有任何方法可以将这些图形权限映射回Azure AD角色，并确定该权限分配给哪个角色？我需要它来实现基于登录用户的访问控制授予Azure AD app的图形权限。Azure AD角色是管理Azure AD，而不是API权限。它们之间没有映射你要找的是供您参考的示例：更新您需要在Azure AD APP中添加所需的图形权限，然后控制代码中的权限我们假设你有和当用户登录时，将返回包含角色声明的令牌。您可以判断用户在代码中的角

我在Azure中为不同的web应用程序分配了各种图形权限。是否有任何方法可以将这些图形权限映射回Azure AD角色，并确定该权限分配给哪个角色？我需要它来实现基于登录用户的访问控制

授予Azure AD app的图形权限。Azure AD角色是管理Azure AD，而不是API权限。它们之间没有映射

你要找的是

供您参考的示例：

更新

您需要在Azure AD APP中添加所需的图形权限，然后控制代码中的权限

我们假设你有和

当用户登录时，将返回包含角色声明的令牌。您可以判断用户在代码中的角色。如果它匹配一个自定义许可，则允许他执行一个操作，例如用户邀请所有人。如果用户不符合任何许可，则他没有执行任何操作的权限

[HttpPost]
[Authorize(Roles = "Admin, Writer, Approver")]
public ActionResult TaskSubmit(FormCollection formCollection)
    {
        if (User.IsInRole("Admin") || User.IsInRole("Writer"))
        //do something such as inviting others.
    {

请深入阅读我在上面分享的示例代码

PS：请注意，我已在上一个回答中修改了“Approvles”中的值。

因此，基本上您想知道用户是否可以在执行操作之前执行操作，例如更新组？您不应该这样做，也不能这样做。对于AAD Graph API权限，可以将其添加到应用程序注册中。因此，登录用户可以将其目录权限委托给您的应用程序。后端逻辑是AAD将发出一个访问令牌，AAD图形作为访问对象。这意味着只有AAD Graph API可以使用AAD Graph权限验证access_令牌。如果您只想在Azure AD Graph API中分配具有不同权限的不同角色，请使用Azure AD Directory角色功能。Azure AD Graph API后端将实际验证已登录的目录角色。juunas-是的，这正是我要寻找的。在Graph中的委派权限的情况下，应用程序代表已登录的用户运行，对吗？在这种情况下，Graph中的权限如何映射到AAD？例如，如果我将用户在运行时承担的邀请所有委托权限分配给应用程序，我如何知道该权限在AAD中映射到哪个AD角色？如果我的答案对您有帮助，您可以将其作为答案接受。非常感谢。

[HttpPost]
[Authorize(Roles = "Admin, Writer, Approver")]
public ActionResult TaskSubmit(FormCollection formCollection)
    {
        if (User.IsInRole("Admin") || User.IsInRole("Writer"))
        //do something such as inviting others.
    {