令牌中缺少 Azure AD 角色声明

要获取 ID 令牌中的 Azure AD 角色声明，请检查以下内容：

在 Azure AD 应用程序中创建应用程序角色：

在企业应用程序中，我添加了用户的角色：

现在，我使用以下参数通过Postman生成了令牌：

https://login.microsoftonline.com/TenantID/oauth2/v2.0/token

client_id:ClientID
scope:ClientID/.default openid
code:code
redirect_uri:https://jwt.ms
grant_type:authorization_code
client_secret:ClientSecret

当我解码ID令牌时，角色显示成功：

角色声明也将显示在访问令牌中：

现在，我尝试使用应用程序中未分配任何角色的用户登录，并且角色声明未显示在 ID 令牌中：

要使用 ASP.NET Core Web 应用程序获取 Azure AD 角色声明，请参阅 aremo-ms 的此 GitHub 博客。

在您的

Startup.cs

public void ConfigureServices(IServiceCollection services)
{
                       JwtSecurityTokenHandler.DefaultMapInboundClaims = false;
           services.Configure<OpenIdConnectOptions>(OpenIdConnectDefaults.AuthenticationScheme, options =>
            {
                                options.TokenValidationParameters.RoleClaimType = "roles";
            });

                   services.AddAuthorization(options => 
            {
                options.AddPolicy(AuthorizationPolicies.AssignmentToUserReaderRoleRequired, policy => policy.RequireRole(AppRole.UserReaders));
                options.AddPolicy(AuthorizationPolicies.AssignmentToDirectoryViewerRoleRequired, policy => policy.RequireRole(AppRole.DirectoryViewers));
            });
            }

// In code..(Controllers & elsewhere)
[Authorize(Policy = AuthorizationPolicies.AssignmentToDirectoryViewerRoleRequired)]
// or
User.IsInRole("UserReaders"); // In methods

参考：

添加应用程序角色并从令牌获取它们 - Microsoft Entra