[Azure] WS-Fed/SAML, доступ к пользователям и группам
От: mogadanez Чехия  
Дата: 30.09.20 16:19
Оценка:
На данный момент используем SAML SSO,
клиент заводит у себя В Azure Entrerprise App,
предоставляет нам tenantId, appId, certificate, и его пользователи могут к нам входить через microsoft аккаунт.

А можем ли мы с помощью той-же, или аналогичной интеграции в
фоновом режиме получить достпу к пользователям который назначены на наше Enterprise приложение?

сейчас они по инструкции делают Application Registration, с привелегией типа Directory.Read.All и дают нам tenantId, clientId, clientSecret
Многие не хотят давать нам доступ ко всей AD, а как в Enterprise App назначить нашему приложению группы/пользователей.
да и чтение всего AD у больших клиентов занимает прорву времени

Куда почитать? в идеале заиспользовать ровно тоже приложение что используется для SSO
Re: [Azure] WS-Fed/SAML, доступ к пользователям и группам
От: Artem Korneev США https://www.linkedin.com/in/artemkorneev/
Дата: 06.10.20 05:00
Оценка: 5 (1)
Здравствуйте, mogadanez, Вы писали:

M>Многие не хотят давать нам доступ ко всей AD, а как в Enterprise App назначить нашему приложению группы/пользователей.


Вы уверены, что вам нужен именно доступ к ихнему AD?
К вам приходит авторизованный пользователь. Он предъявляет токен, в этом токене записано, какой AD домен его авторизовал и какую роль в том домене он имеет. Например, он добавлен в нужную группу и вы эту группу увидите в токене авторизации. Обычно этой информации достаточно.

Вам нужно на своей стороне решить, что с этим пользователем дальше делать. Некоторые сторонние сервисы авторизации позволяют настроить прозрачную трансляцию групп в клиентских доменах на группы в вашем домене (типа домен "Рога И Копыта", группа "Отдел Продаж" соответствует вашей внутренней группе "Продвинутые Пользователи"). В Azure раньше этого не было и если не добавили, то эту трансляцию можно делать самому, состряпав простую базу данных.

M>Куда почитать? в идеале заиспользовать ровно тоже приложение что используется для SSO


В целом, то, что вы описываете, называется Federated Identity.

https://docs.microsoft.com/en-us/azure/architecture/patterns/federated-identity
https://docs.microsoft.com/en-us/azure/architecture/multitenant-identity/
С уважением, Artem Korneev.
Re[2]: [Azure] WS-Fed/SAML, доступ к пользователям и группам
От: mogadanez Чехия  
Дата: 06.10.20 15:33
Оценка: 2 (1)
Здравствуйте, Artem Korneev, Вы писали:

AK>Вы уверены, что вам нужен именно доступ к ихнему AD?

AK>К вам приходит авторизованный пользователь. Он предъявляет токен, в этом токене записано, какой AD домен его авторизовал и какую роль в том домене он имеет. Например, он добавлен в нужную группу и вы эту группу увидите в токене авторизации. Обычно этой информации достаточно.

нам нужно уметь рассылать им письма/инвайты до того как оин первый раз войдут
те их менеджер входит к нам, видит группы из AD, выбирает нужную и запускает на ней campaingn. мы получаем список пользователей из группы и рассылаем им инвайты



AK>В целом, то, что вы описываете, называется Federated Identity.


еще нашел вот SCIM:

https://docs.microsoft.com/en-us/azure/active-directory/app-provisioning/use-scim-to-provision-users-and-groups

Вроде как Azure будет сам пушить к нам назначенных пользователей и группы, и запаковать можно с SSO в одно enterprise приложение
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.