Блог

Мы с моей командой обрабатываем сотни подписок, принадлежащих разным командам. Многие из них имеют разные потребности в плане безопасности, используемых сервисов и т. Д., В то время как мы, как центральная платформа, также следим за тем, чтобы все работали с одним и тем же базовым уровнем (безопасность, мониторинг, автоматизация и т. Д.).

Конечно, нам нужно обрабатывать RBAC, и мы часто используем пользовательские роли. Мне было интересно, есть ли способ создать пользовательскую роль на основе другой, чтобы воспользоваться преимуществами «классического наследования».

Таким образом, я мог бы создать, например, роль с именем «basic_user«, которая содержала бы набор «Действий«, а «advanced_user» мог бы иметь доступ «basic_user» плюс дополнительные, и так далее с «super_advanced_user«.

Я знаю, что Microsoft до сих пор разрабатывала его противоположным образом, позволяя нам назначать несколько ролей данному человеку / группе, но по соображениям внутреннего проектирования мы хотели бы придерживаться одного назначения роли для данного получателя (одна группа AAD, содержащая всех людей в соответствии с их ролью).

Это что-то технически осуществимое / воспроизводимое или кто-нибудь слышал о такой функции? Или, может быть, это то, что мы не должны рассматривать из-за каких-то причин, которые вы хотели бы выделить?

Функция, которую вы хотели бы реализовать, как вы описали, в настоящее время недоступна, поскольку вы уже знали об этом. Но, однако, вы можете опубликовать об этой функции напрямую по этой ссылке. Он будет рассмотрен непосредственно инженерными группами Microsoft и будет отвечать.