网络核心应用程序。我正在尝试实施身份验证和授权。我有用户,他们被分为多个区域。例如,我有以下区域。
GE GSAS
- user1
- user2
APAC
-user3
-user4
SE&A
-user5
-user6
这些用户具有不同的权限或角色。例如,RegionalAdmin,GlobalAdmin,Users等。这些用户将在门户中创建一些订单。例如,区域负责人只能将该区域内的订单重新分配给其他用户。对于全球负责人,他/她可以将订单重新分配给任何人。用户可以创建订单并查看删除,并且用户不能重新分配订单。所有这些用户都是Azure AD租户的一部分。现在,我正在尝试实现身份验证和授权。我开始考虑这样的设计策略,可以按区域创建组并将用户添加到组中。基于组,我可以具有身份验证或授权。但是这些用户具有不同的权限,例如RegionalAdmin,GlobalAdmin等,并且这些用户在web / api权限中还具有一些额外的功能。有人可以就此以及与上述情况有关的方式组织小组或角色来帮助我。任何帮助,将不胜感激。谢谢
谢谢dinakr。因此,首先我应该为每个区域创建组并添加所有用户。然后在每个区域中再次为区域管理员和全局管理员创建组,并向其中添加所需的用户。然后,我应该为每个小组分配角色。这是对的方法吗?
是的。此方法符合以上要求。
因此,例如,在region1中,如果有10个用户,那么我将创建组region1并添加所有10个用户,并将用户角色添加到该组。例如,在10个用户中,2个是全局管理员,然后我将创建组region1globaladmin并添加这2个用户,并将该组分配给reggion1globaladmin角色。对于区域2,也将执行相同的操作。这是对的方法吗?但是有一个小问题,我们最终会创建很多组吗?
在AAD中,全局管理员角色可以读取和修改Azure AD组织中的每个管理设置。因此,这将是租户级别的。有关角色和权限的更多详细信息,请参考下面的链接。如果您可以在上面的示例中详细说明区域的含义,将会很有帮助?docs.microsoft.com/zh-CN/azure/active-directory/roles/…
假设在上述情况下,全局管理员是一组具有自定义角色和区域的用户作为组的隔离标准,那么不同区域的全局管理员的角色和权限是否不同?如果不是,则可以为两个/多个区域创建一个组,否则可能需要创建单独的组。关于不断增加的组,始终建议遵循管理单元(以下链接)以有效隔离用户/组管理。docs.microsoft.com/zh-CN/azure/active-directory/roles/…