首先,您必须区分Azure AD(B2C)中的角色和组.

用户角色非常具体,仅在Azure AD(B2C)本身内有效.角色定义了用户拥有的Azure AD中的哪些权限.

组(或安全组)定义用户组成员资格,可以暴露给外部应用程序.外部应用程序可以在安全组之上建立基于角色的访问控制.是的,我知道这可能听起来有点混乱,但这是什么.

因此,您的第一步是在Azure AD B2C中建模您的组 – 您必须创建组并手动将用户分配给这些组.您可以在Azure Portal(https://portal.azure.com/)中执行此操作：

然后,回到您的应用程序,一旦用户成功通过身份验证,您将不得不进行一些编码并请求Azure AD B2C Graph API获取用户成员资格.您可以使用this sample获得如何获取用户组成员资格的灵感.最好在其中一个OpenID通知(即SecurityTokenValidated)中执行此代码,并将用户角色添加到ClaimsPrincipal.

将ClaimsPrincipal更改为具有Azure AD安全组和“角色声明”值后,您将能够使用具有“角色”功能的Authrize属性.这是真的5-6行代码.

最后,您可以为此功能投票：https://feedback.azure.com/forums/169401-azure-active-directory/suggestions/10123836-get-user-membership-groups-in-the-claims-with-ad-b以获取组成员声明,​​而无需查询Graph API.