我正在使用以下命令将新证书添加到Azure AD中的现有应用程序注册中:
New-AzureADApplicationKeyCredential -ObjectId $AppObjectId -CustomKeyIdentifier $base64Thumbprint -Type AsymmetricX509Cert -Usage Verify -Value $base64Value -StartDate $cer.GetEffectiveDateString() -EndDate $validTo
这可以正常工作,我可以在门户中看到添加的证书。
该证书是否也不能通过https://login.microsoftonline.com/ {tenant} / discovery / keys可见?appid = {Application(client)ID}
我还尝试通过Set-AzureADApplication和直接通过门户添加证书信息。每次我可以在“证书和机密”下以及“应用清单”中看到该证书。不管我做什么,我都看不到JWKS端点中的公共证书。
我对此的假设来自以下方面:
https://docs.microsoft.com/en-us/azure/active-directory/develop/access-tokens
“ 如果您的应用由于使用了Claims-mapping功能而具有自定义签名键,则必须附加一个包含该应用ID的appid查询参数,以获取指向您应用的签名键信息的jwks_uri例如:https://login.microsoftonline.com/ {tenant} /。known / openid-configuration?appid = 6731de76-14a6-49ae-97bc-6eba6914391e包含jwks_uri为https://login.microsoftonline.com/ {tenant} / discovery / keys?appid = 6731de76-14a6-49ae-97bc-6eba6914391e。“
任何帮助将不胜感激。
据我了解,您添加到应用程序中的密钥仅用于对Azure AD进行身份验证。因此,无需在公共终结点中发布这些密钥,因为只有Azure AD本身需要使用那些公共密钥来验证应用程序发送的声明。