针对 Azure AD 组的 Asp .net 核心应用授权

Question

我有一个 .net core 2.0 服务，我试图通过从 AAD 读取组来实现授权

做了什么：

1. 在 Azure 门户中，在应用注册中，修改了清单 - 添加了“groupMembershipClaims”：“SecurityGroup”
2. 在应用注册->API权限->授予权限

Permissions

在代码中：

   public static class AuthorizationPolicy
    {
        public static string Name => "GroupName";

        public static void Build(AuthorizationPolicyBuilder builder) =>
            builder.RequireClaim("GroupName", "06edc7ed-b0da-425f-b4a3-f501904e6c6f");
    }

services.AddAuthorization(options => { options.AddPolicy("GroupName", policy => policy.AddRequirements(new IsMemberOfGroupRequirement("GroupName", "06edc7ed-b0da-425f-b4a3-f501904e6c6f"))); });

添加 AuthorizationHandler 类

public class IsMemberOfGroupHandler : AuthorizationHandler<IsMemberOfGroupRequirement>
{
    protected override Task HandleRequirementAsync(
        AuthorizationHandlerContext context, IsMemberOfGroupRequirement requirement)
    {
        var groupClaim = context.User.Claims
            .FirstOrDefault(claim => claim.Type == "groups" &&
                                     claim.Value.Equals(requirement.GroupId, StringComparison.InvariantCultureIgnoreCase));

        if (groupClaim != null)
            context.Succeed(requirement);

        return Task.CompletedTask;
    }
}

但用户的声明中不存在这些组

请帮忙，我错过了什么

Answer 1

您注册的应用似乎用于请求图形 api。所以groups 声明在访问令牌中不存在。

以下是我们需要了解的有关groups 声明的信息：

如果我们在 AD 中将一个应用程序注册为 clientApp，并在 AD 中将另一个应用程序（对于 web 应用程序或 api 应用程序）注册为 backendApp。然后将backendApp的权限添加到clientApp中，根据clientApp请求访问令牌。现在，如果您在 backendApp 的清单中添加 "groupMembershipClaims": "SecurityGroup"，访问令牌将包含 groups 声明。 我们可以根据用户的组来限制用户可以/不能对backendApp进行任何操作（因为backendApp（webapp或api app）是属于我们的。

但是如果你在AD中注册应用程序为clientApp来请求graph api的token，graph api backendApp不属于我们，它只是在AD中存在一个用于graph api的企业应用程序。所以我们不能修改它的清单。所以访问令牌不包含groups 声明。实际上，由于graph api不属于使用，所以限制用户可以/不能根据他的组进行任何操作是没有意义的。

所以问题是设计使然。如果你还想得到groupscliam，你可以在“id_token”中得到它。在“范围”中添加openid，则响应将包含“id_token”。解码this页面中的“id_token”，可以找到groups声明。