如何从Microsoft Azure AD登录过程获取用户主体名称

问题描述 投票:0回答:2

我正在使用@ azure / msal-angular登录用户。我提供了以下“ consentScopes”:

['openid', 'email', 'profile']

登录重定向过程起作用,因为它将我重定向到“ https://login.microsoftonline.com” URL,并且“ scope”参数如下所示:

&scope=email%20openid%20profile

到目前为止,我已经登录,将其重定向回我的站点,然后打印出了MSAL服务提供的“ getUser()”方法(在敏感值的情况下混淆):

displayableId: "D...Mm"
name: "Mo....as"
identityProvider: "htt...0"
userIdentifier: "OG....5"
idToken:
aud: "ca...20"
iss: "htt....0"
iat: 1..83
nbf: 15..83
exp: 15...83
acct: 0
aio: "42dg....R/XQoA"
auth_time: 159...282
email: "DM.....com"
name: "Mo....as"
nonce: "7bc....d95d"
oid: "8e8f....fc3"
platf: "1"
preferred_username: "DMol....om"
sub: "j0KKHsU....WMEB_H3fyU"
tid: "98f7abd.....6fbd5f9"
uti: "Eu4y.....cMAAA"
ver: "2.0"

此处没有提供UPN值。经过研究,我发现默认情况下1.0版本返回了UPN。

我发现了这个有用的问题,有很多信息,但实际上并没有回答问题:

https://stackoverflow.com/a/57692622/1079602

以下是Microsoft文档(https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-optional-claims)的屏幕截图

Microsoft doc image

它特别指出,“配置文件”范围应返回“ upn”值。我不认为@ azure / msal-angular包有问题,因为正确生成了登录URL。

azure azure-active-directory msal
2个回答
0
投票

根据我对2.0和oauth的了解,UPN是一项选项声明,您必须在清单或令牌配置中的应用注册中指定->添加可选声明。如果我理解正确,那是在概要范围的顶部,我认为概要范围使oidc可以访问那些额外的信息,但不一定将其包括在权利要求中。我当然可能是错的,但是我看不到它指出配置文件将在令牌中返回upn值的地方吗?

https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-optional-claims#configuring-groups-optional-claims

希望这会有所帮助。

0
投票

您得到的是id token,它不包括upn声明,请参阅doc

upn声明将包含在访问令牌中,要获取访问令牌,您可以参考代码here,该代码使用Implicit grant flow

// app.module.ts
@NgModule({
  declarations: [
    // ...
  ],
  imports: [
    // ...
    MsalModule.forRoot({
      auth: {
        clientId: 'Enter_the_Application_Id_Here',
      }
    },
    {
      popUp: !isIE,
      consentScopes: [
        'user.read',
        'openid',
        'profile',
      ],
      protectedResourceMap: [
        ['https://graph.microsoft.com/v1.0/me', ['user.read']]
      ]
    })
  ],
  providers: [
    {
      provide: HTTP_INTERCEPTORS,
      useClass: MsalInterceptor,
      multi: true
    }
  ],
  bootstrap: [AppComponent]
})
export class AppModule { }

[使用此流程获取访问令牌时,您会发现令牌为ver: "1.0",因为令牌的版本由资源而不是客户端决定,请参阅原因here

enter image description here

测试:

https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/authorize?
client_id=xxxxx
&response_type=token
&redirect_uri=http://localhost/myapp/permissions
&scope=email openid profile
&response_mode=fragment
&state=12345
&nonce=678910

enter image description here

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.