Azure AD中的嵌套组和企业应用程序中的角色分配

Question

Azure AD中的嵌套组和企业应用程序中的角色分配

azureazure-active-directorymicrosoft-graph-api

5

我在Azure中有一个企业应用程序，定义了一些角色，比如：

教授角色
学生角色
工作人员角色

然后我有一些嵌套的Active Directory组，例如：

根教授组PROF
- 嵌套教授组PROF1
- 嵌套教授组PROF2
- 还有许多类似的，甚至更深层次的...
根学生组STUD
- 嵌套学生组STUD1
- 嵌套学生组STUD2
- 还有许多类似的，甚至更深层次的...
根工作人员组STAFF
- 嵌套工作人员组STAFF1
- 嵌套工作人员组STAFF2
- 还有许多类似的，甚至更深层次的...

我可以将用户和AD组分配给这些角色。然而，当我想将一个组分配给一个角色时，只有当用户是该组的直接成员时才有效。例如，如果我将整个组STUD添加到角色中，则在角色分配中它不起作用。因此，我必须将所有单个嵌套角色添加到角色中，这非常耗时。但作为一次性解决方案，这是可以接受的。糟糕的是，不断出现新的组和用户。我必须手动始终保持角色分配最新。

理想情况下，我想说：来自STUD根AD组的每个人都获得学生角色等。显然这是不可能的： https://feedback.azure.com/forums/169401-azure-active-directory/suggestions/15718164-add-support-for-nested-groups-in-azure-ad-app-acc 也许可以通过某些自动化脚本来实现？也许您有其他想法？提前致谢！

- lukasz

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- alphaz18 · Answer 1

正如您所发现的，Azure AD目前在各种情况下都不能很好地处理嵌套组，正如您在发布的那个帖子中发现的那样，微软正在开始解决这个问题。因此，问题是您想花多少精力来尝试实现一些在微软发布解决方案时可能会成为某种内置功能的东西？

有一些事情可以做，比如编写一个PowerShell脚本来展开一个组。但你需要手动调用它。为了保持清洁，我会为每个应用程序注册角色创建一个父组。例如，创建一个名为app_x_prof的组，将prof组放入其中。然后展开它。但这仍然相当繁琐。

如果您真的想自动化这个过程，有办法。例如，您可以结合创建应用程序角色特定组、向其中添加嵌套组，然后运行一个定期执行的Power Automate（流），该流通过这些特别命名的组，从嵌套组中获取所有用户并将其复制到根组中。

这完全取决于您想花费多少精力和时间。