hakenr
commented
1 year ago Příprava, dal jsem tam roli Administrator fc1c1f5434da43ca00ff92330ae35a95734997f9
Open hakenr opened 1 year ago
hakenr
commented
1 year ago Příprava, dal jsem tam roli Administrator fc1c1f5434da43ca00ff92330ae35a95734997f9
Dosud jsme neřešili oprávnění jinak, než že se kontrolovalo, že je uživatel přihlášen, popř. že pracuje s vlastními záznamy. Known issue bylo jen seedování, kdokoliv mohl pustit znovu seed, pokud šel na /admin. Nyní se ale myslím dostáváme za hranici toho, co tam můžeme nechat bez ochrany:
EntryFacade.GetEntriesOfPeriod()vrátí všechny záznamy v periodě komukoliv přihlášenému (= přístup k chráněným datům)PeriodFacade.CreateNewPeriod()Navrhuji to pro tuto chvíli řešit členstvím v AAD roli Global Administrator, popř. nějaké konkrétní skupině (třeba Bonusario Administrator). Pro účely aplikace bych to transformoval na roli.
V nastavení AAD je potřeba zapnout injectování AAD-groups do tokenů (claimů), pak se to z toho čte už klasicky, např. https://github.com/mensagymnazium/IntranetGen3/blob/460b4447355517a3a4794fc9d784f462adf600b8/Services/Security/UserOnboarder.cs#L83