针对公司专有用户群的 Azure 移动应用程序/Web API 的授权设计指南

Authorization design guidance for Azure Mobile Apps / Web API for a company-exclusive user base

我已经搜索了一些关于如何处理以下情况的明确和完整的指导,但不是很成功。

我想我的要求是一个很常见的要求。公司用户通过 Windows 10 应用访问 Azure 上的服务。它看起来像这样:[Windows 10 台移动设备] <-> [Azure 移动应用程序] <-> [本地公司数据]。只有公司用户(在我们的本地 AD 上拥有帐户的用户)才可以访问 Azure 服务。

我已经完成了以下步骤:

  1. 使用我的 MSDN 订阅(使用我的 Micrsoft 帐户)创建 Azure 移动应用程序服务。
  2. 创建了一个与 Azure 移动应用服务同步的 Windows 10 应用程序。
  3. 使用 Microsoft 帐户实施身份验证(不是授权)

问题:
1. 在生产中,我显然不应该使用我的 MSDN 订阅中的 Azure 订阅。如何为我的公司创建 azure 帐户?
2.如何实现授权?目前我实现的MS账号认证,用户身份是通过验证的,但是如何限制谁可以访问该服务,以及他们可以访问什么?看过很多示例,但 none 使用 MS 帐户。 MS 帐户可以吗?还是我必须使用 Azure AD?
3. 如果我应该使用 AAD,我如何 link AAD 和我们的本地 AD,以便用户在访问本地资源和 Azure 移动应用程序资源时具有相同的用户 id/password?
4. 如果使用 AAD,我可以为我可以在我的 azure web API 控制器中检查的用户设置属性以实现授权

谢谢

我的博客目前涵盖了组和 AAD 的身份验证/授权。您可以在这里找到它:https://shellmonger.com/ 它全面涵盖了 Azure 移动应用程序中的要求。