我有一个应用程序需要根据其本地 AD 通用名称来过滤权限。几点注意事项:
- Azure AD Connect 正在 OnPrem AD 和 Azure 之间同步数据
- 我成功地将登录用户的组信息从 Azure Graph API 检索到 Web 应用程序中。
我遇到的问题是从 Graph API 返回的数据不是我需要的,或者我没有正确配置 Azure AD Connect。记录了组的 Graph API JSON 返回对象here https://msdn.microsoft.com/en-us/library/azure/ad/graph/api/groups-operations#GetAGroup.
这是从 Graph API 返回的 Group 对象:
{
"odata.metadata": "https://graph.windows.net/myorganization/$metadata#directoryObjects/Microsoft.DirectoryServices.Group/@Element",
"odata.type": "Microsoft.DirectoryServices.Group",
"objectType": "Group",
"objectId": "b4bda672-1fba-4711-8fb1-5383c40b2c14",
"deletionTimestamp": null,
"description": "Marketing Department",
"dirSyncEnabled": null,
"displayName": "Marketing",
"lastDirSyncTime": null,
"mail": null,
"mailNickname": "BposMailNickName",
"mailEnabled": false,
"onPremisesSecurityIdentifier": null,
"provisioningErrors": [],
"proxyAddresses": [],
"securityEnabled": true
}
我能找到的最接近的是“显示名称”,但这不是通用名称。一个选项(我不想使用)是使所有“显示名称”与组 CN 相同。
太长了;
用户组 CN 是否可以通过 Graph API 访问?如果可以,我如何获取这些数据?
-更新:一旦检索到所有用户组 ID,我就会使用图形 API 端点 getObjectsByObjectIds 来访问图形 API。
CN 无法通过 Graph API(AAD 或 Microsoft Graph)访问。如果您正在寻找本地和云之间的通用唯一标识符,则可以使用本地组 SID(在云中)onPremisesSecurityIdentifier)。该属性是可过滤的。
我能想到的唯一其他选择(如果这是不可接受的并且你really需要 CN) 就是使用目录架构扩展 https://msdn.microsoft.com/en-us/library/azure/ad/graph/howto/azure-ad-graph-api-directory-schema-extensions,用附加 CN 属性扩展组实体。模式扩展也是可过滤的。另请查看最新的 AD Connect 版本,因为我相信它们提供了创建/配置 AAD 云架构扩展和从本地映射的功能。
希望这可以帮助,
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
