扩展 azure 活动目录访问令牌声明
Extend azure active directory access token claims
我目前正在尝试根据用户组授权我的 api。在 Azure Active Directory 中启用组声明后,我意识到组声明不包含在 access_token 中,而是包含在 id_token.
中
我试图避免对图表发出请求 api,并且我看到了一些关于 azure 活动目录声明映射的信息 (https://docs.microsoft.com/en-us/azure/active-directory/active-directory-claims-mapping)
但是由于缺乏信息和示例,我不确定如何处理这个问题。
关于如何将额外声明放入访问令牌的任何建议?
在 AAD 中,当您创建 SSO 应用程序时,您可以创建自定义声明,您可以在其中自定义从 AAD 到目标应用程序的 SAML 响应。
有关详细信息,请参阅 this。
您也可以在访问令牌中获取组 ID。
但 API 应用程序清单必须具有:
{
"groupMembershipClaims": "SecurityGroup"
}
请注意,这必须在 API 的清单中,而不是客户端应用程序的清单中。
我目前正在尝试根据用户组授权我的 api。在 Azure Active Directory 中启用组声明后,我意识到组声明不包含在 access_token 中,而是包含在 id_token.
中我试图避免对图表发出请求 api,并且我看到了一些关于 azure 活动目录声明映射的信息 (https://docs.microsoft.com/en-us/azure/active-directory/active-directory-claims-mapping)
但是由于缺乏信息和示例,我不确定如何处理这个问题。
关于如何将额外声明放入访问令牌的任何建议?
在 AAD 中,当您创建 SSO 应用程序时,您可以创建自定义声明,您可以在其中自定义从 AAD 到目标应用程序的 SAML 响应。
有关详细信息,请参阅 this。
您也可以在访问令牌中获取组 ID。
但 API 应用程序清单必须具有:
{
"groupMembershipClaims": "SecurityGroup"
}
请注意,这必须在 API 的清单中,而不是客户端应用程序的清单中。