扩展 Azure Active Directory 访问令牌声明

【问题标题】:Extend azure active directory access token claims扩展 Azure Active Directory 访问令牌声明
【发布时间】:2018-03-07 04:18:44
【问题描述】:

我目前正在尝试根据用户组授权我的 api。在 Azure Active Directory 中启用组声明后,我意识到组声明不包含在 access_token 中,而是包含在 id_token 中。

我试图避免对图形 api 的要求,我已经看到了一些关于 azure Active Directory 声明映射 (https://docs.microsoft.com/en-us/azure/active-directory/active-directory-claims-mapping)

但由于缺乏信息和示例,我不确定如何处理。

关于如何将额外声明放入访问令牌中的任何建议?

【问题讨论】:

  • 那么你有一个API,它得到的访问令牌不包含组ID?
  • 没错,azure 活动目录只在 id_token 中提供组 id

标签: azure authorization azure-active-directory access-token


【解决方案1】:

您也可以在访问令牌中获取组 ID。

但 API 应用清单必须有:

{
  "groupMembershipClaims": "SecurityGroup"
}

请注意,这必须在 API 清单中,而不是客户端应用的清单中。

【讨论】:

  • 这里有一个警告(很可能是一个错误),如果在您添加 groupMembershipClaims 后门户网站触及该文件(添加/删除权限),它就会消失,您必须手动将其放回我强烈建议调用 MS Graph API 来代替组成员身份。
【解决方案2】:

在 AAD 中,当您创建 SSO 应用程序时,您可以创建自定义声明,您可以在其中自定义从 AAD 到目标应用程序的 SAML 响应。

更多信息请参见this

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2018-03-24
    • 2018-02-17
    • 2019-08-25
    • 2020-05-25
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2019-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode