問題タブ [azure-rbac]

カスタム ロールがあり、私の知る限り割り当てはありません。しかし、私はそれを削除することができません。以下のスクリーンショットを確認してください。

エラーは言うThere are existing role assignments referencing role. The role assingments must be deleted before the role can be deleted.

これは、サブスクリプション レベルでの IAM コントロールです。下部に 0 件の割り当てがあることを示しています。

削除できない理由を知っている人はいますか？その役割の担当者が実際にいるかどうかを確認する方法はありますか?

どんな助けでも大歓迎です。

Azure Active Directory を使用して、.Net コア アプリケーションの認証と承認を実行しようとしています。これまでのところ、私はうまくやることができます、

• OIDC による認証
• Graph API による認証
• グループと役割のポリシーの適用

上記の実装は、期待の半分を満たしています。ロールが割り当てられたら、各ロールの下にカスタム権限を持たせたいのですが、その設定にこだわっています。カスタム クレームを使用して、アプリケーション エンティティのアクセス許可をユーザーに設定できることを理解しています。つまり、その特定のユーザーがアクセスできるカテゴリを格納するカテゴリ クレームです。

質問:

• 私は正しい方向にいますか？
• はいの場合、Graph API を介して他のユーザー クレームを動的に設定することはできないと思います。他の解決策は何ですか？
• いいえの場合、代替手段は何ですか?

要約 - データベースに認証情報や承認情報を保存したくありません。したがって、同じために Azure AD を活用したいと考えています。

バックグラウンド

Azure Web Apps for Containers を介して Docker にデプロイされた .NET Core 3.1 Web サイトがあります。

アプリは自分の組織の Azure AD に登録されており、自分の組織のみを対象としており、アクセスを許可するにはユーザーを追加する必要があります。

このサイトは、個人ベースのアクセスでしばらくの間正常に機能しています。アプリはデフォルトのアクセスを使用します。サイトにアクセスできる人は、サイト内のすべてにアクセスできます。

Azure AD テナントは Premium P2 テナントです。

ゴール

Azure AD で個人をアプリに追加するのではなく、アプリケーションへのアクセスにセキュリティ グループを使用したいと考えています。

問題

• 組織の Azure AD 内でアプリの登録に進みます
• 私はUsers and Groupsメニューを選ぶ
• 許可したい個人を含むグループをDefault Access役割 (利用可能な唯一の役割)とともに追加します。
• 個人を削除します (すべてがグループのメンバーであり、これが推奨されるアクセス管理です)

予想される行動

グループは承認されており、グループのメンバーであるため、ユーザーは引き続きサイトへのアクセスを許可されます。

実際の動作

個人としても追加しない限り、ユーザーはアクセスを拒否されます。

ログには、次のように表示されます。

メッセージにエラーが含まれています: 'access_denied'、error_description: 'AADSTS50105: サインインしているユーザー '{EmailHidden}' は、アプリケーション ' {Redacted GUID}'( Redacted App Name) のロールに割り当てられていません。

ただし、この場合、すべての個人は登録されたグループの一部であり、グループはDefault Access個人に付与されたのと同じロールを持ちます。

私が試したこと：

• K. Scott Allen (RIP) によるこの投稿に従って、アプリケーションのマニフェストを更新しましgroupMembershipClaimsた。SecurityGroup

質問

Azure AD エンタープライズ アプリケーションの個々のユーザー アクセスからグループ ベースのアクセスに移行するにはどうすればよいですか?

更新: 認証コード

要求ごとに、認証のセットアップに使用するコードを提供します。

IIRC、これは Azure 用のすぐに使える .NET Core セットアップです。のStartup.cs

AzureAd構成セクションは次のようになります。