适当使用Azure广告组来管理权限
我正在创建一个使用Azure AD用户组向特定资源授予权限的应用程序。例如,特定的文档集只能由特定组中的用户访问。应用程序将组ID作为JWT上的声明接收,并确保仅分配给声明中的组的文档可见 现在,问题是如何在Azure AD中正确管理组。当用户被分配到某个组时,该组将成为该组的成员,并且该组嵌套在其中的任何组中。这似乎意味着我的组嵌套应该与我想要的树结构相反。大概是这样的: 管理-->访问权限最多的-->组成员-->访问权限较少的-->组成员-->访问权限最少的-->组成员 对我来说,这似乎是倒退,但它为添加到每个组的用户提供了正确的访问权限适当使用Azure广告组来管理权限,azure,permissions,azure-active-directory,Azure,Permissions,Azure Active Directory,我正在创建一个使用Azure AD用户组向特定资源授予权限的应用程序。例如,特定的文档集只能由特定组中的用户访问。应用程序将组ID作为JWT上的声明接收,并确保仅分配给声明中的组的文档可见 现在,问题是如何在Azure AD中正确管理组。当用户被分配到某个组时,该组将成为该组的成员,并且该组嵌套在其中的任何组中。这似乎意味着我的组嵌套应该与我想要的树结构相反。大概是这样的: 管理-->访问权限最多的-->组成员-->访问权限较少的-->组成员-->访问权限最少的-->组成员 对我来说,这似乎是倒
我在这里是否偏离了底线,或者这是管理广告组访问权限的合理方式?在AAD中,组中成员的权限取决于他所属组的最大权限。例如,A组可以访问一个资源,B组不能访问它,这个人同时在A组和B组,那么他将能够访问该资源 对我来说,这似乎是倒退,但它为添加到每个组的用户提供了正确的访问权限 让我们将这三个组称为A、B、C,它们的权限是A>B>C。显然,如果将A添加到B,A和B的权限都不会受到影响。但是如果你将B添加到A中,A或B中的成员都将拥有最大的权限,这不是你想要的。B和C也是如此。这就是为什么它为添加到每个组的用户提供正确的访问权限的原因,正如您所说的
因此,在我个人看来,似乎没有必要使用嵌套组,只要使用三个具有不同权限的组就足够了。在AAD中,组中成员的权限取决于他所属组的最大权限。例如,A组可以访问一个资源,B组不能访问它,这个人同时在A组和B组,那么他将能够访问该资源 对我来说,这似乎是倒退,但它为添加到每个组的用户提供了正确的访问权限 让我们将这三个组称为A、B、C,它们的权限是A>B>C。显然,如果将A添加到B,A和B的权限都不会受到影响。但是如果你将B添加到A中,A或B中的成员都将拥有最大的权限,这不是你想要的。B和C也是如此。这就是为什么它为添加到每个组的用户提供正确的访问权限的原因,正如您所说的
所以在我个人看来,似乎没有必要使用嵌套组,只要使用三个具有不同权限的组就足够了。@JoyWang已经在上面的回答中提到了一些好的方面。这里有一些额外的考虑。免责声明:由于问题的性质,我在这里的回答主要是观点和从一些案例中学习。我的想法是分享我是如何看到一些相关的信息一起使用团体的
Marketing
组可以有一个成员组,如Marketing Content Approvers
,因为它是营销人员的子集