我正在尝试根据用户组授权我的api。在Azure Active Directory中启用组声明后,我意识到组声明不包括在access_token中,而是包含在id_token中。
我正在尝试避免对图api的makings请求,我看到了一些关于azure活动目录声明映射的内容(https://docs.microsoft.com/en-us/azure/active-directory/active-directory-claims-mapping)
但由于缺乏信息和示例,我不知道如何处理这个问题。
有关如何将额外声明纳入访问令牌的任何建议?
您也可以在访问令牌中获取组ID。
但API应用程序清单必须具有:
{
"groupMembershipClaims": "SecurityGroup"
}
请注意,这必须位于API清单中,而不是客户端应用程序的清单中。
在AAD中,当您创建SSO应用程序时,您可以创建自定义声明,您可以在其中自定义从AAD到目标应用程序的SAML响应。
有关更多信息,请参阅this。