Azure AD B2C 和组织组
Azure AD B2C and organizational groups
针对我的应用考虑以下情况:
- 我有一个网站
- 该网站位于 azure api 之上,并从 cosmos DB
获取数据
- 来自 cosmos DB 的数据针对不同的组织
- 不同的组织应该可以有一个由我指定的“管理员”
- 组织“admin”应该可以在同一组织下添加他的同事
- 特定组织内的用户应该只能查看特定于其组织的数据
考虑到上述用例,我考虑过使用 Azure B2C,因为:
- 一切都已经在蔚蓝之中
- 我不想自己做安全工作
但是,我不确定是否真的可以使用 azure B2C 实现这一目标?我似乎无法在 AD 文档中找到任何类似的用例。因此,为什么我开始认为,我走错了方向...?
因此,Azure AD B2C 是否可以提供我想要实现的目标? (每个组织都需要一个租户吗)
如果 Azure AD 不为我的用例提供支持,那么您会建议我做什么?
作为白标服务,Azure AD B2C 不能用作其他 Azure 服务的内置安全提供程序,除非编写自定义代码将您在 Azure AD B2C 中维护的任何授权模型转换为 CosmosDB 的访问模式或其他 Azure 服务。
CosmosDB 确实有它自己的内置用户和权限概念,您可以通过某种方式(使用自定义代码)将其映射到 Azure AD B2C 用户。 https://docs.microsoft.com/en-us/azure/cosmos-db/secure-access-to-data#users
您还可以将 CosmosDB 与 Azure AD(而非 B2C)的集成用于 RBAC 控件:https://docs.microsoft.com/en-us/azure/cosmos-db/role-based-access-control
最后,Azure AD B2C 不为您描述的那种委托用户管理模型提供任何开箱即用的管理工具。同样,这需要是自定义编码的管理员 UI,或者您需要使用第三方解决方案(例如 Saviynt)进行委派管理:https://docs.microsoft.com/en-us/azure/active-directory-b2c/partner-saviynt
针对我的应用考虑以下情况:
- 我有一个网站
- 该网站位于 azure api 之上,并从 cosmos DB 获取数据
- 来自 cosmos DB 的数据针对不同的组织
- 不同的组织应该可以有一个由我指定的“管理员”
- 组织“admin”应该可以在同一组织下添加他的同事
- 特定组织内的用户应该只能查看特定于其组织的数据
考虑到上述用例,我考虑过使用 Azure B2C,因为:
- 一切都已经在蔚蓝之中
- 我不想自己做安全工作
但是,我不确定是否真的可以使用 azure B2C 实现这一目标?我似乎无法在 AD 文档中找到任何类似的用例。因此,为什么我开始认为,我走错了方向...?
因此,Azure AD B2C 是否可以提供我想要实现的目标? (每个组织都需要一个租户吗) 如果 Azure AD 不为我的用例提供支持,那么您会建议我做什么?
作为白标服务,Azure AD B2C 不能用作其他 Azure 服务的内置安全提供程序,除非编写自定义代码将您在 Azure AD B2C 中维护的任何授权模型转换为 CosmosDB 的访问模式或其他 Azure 服务。
CosmosDB 确实有它自己的内置用户和权限概念,您可以通过某种方式(使用自定义代码)将其映射到 Azure AD B2C 用户。 https://docs.microsoft.com/en-us/azure/cosmos-db/secure-access-to-data#users
您还可以将 CosmosDB 与 Azure AD(而非 B2C)的集成用于 RBAC 控件:https://docs.microsoft.com/en-us/azure/cosmos-db/role-based-access-control
最后,Azure AD B2C 不为您描述的那种委托用户管理模型提供任何开箱即用的管理工具。同样,这需要是自定义编码的管理员 UI,或者您需要使用第三方解决方案(例如 Saviynt)进行委派管理:https://docs.microsoft.com/en-us/azure/active-directory-b2c/partner-saviynt