Azure AD交换access_token，带有id_token v.1.0端点

Question

我将画一个场景，需要一些建议：

我使用的是Azure AD（v1.0端点），单页应用（SPA）和Web API。 SPA使用OpenID Connect建立用户身份，对用户进行身份验证，并为后端Web API接收id_token和access_token。

现在，我们不希望SPA根据SPA应用中收到的id_token做出访问控制决策。

相反，SPA会将access_token发送到后端Web API以访问它，现在我们希望后端Web API根据找到的roles声明做出访问控制决策在id_token中，但后端未从SPA收到。

问题是，后端Web API是否可以将收到的access_token发送到Azure AD令牌端点并为用户接收相关的id_token以便后端Web API收到包含用户id_token声明的roles，以便做出访问控制决定？

Answer 1

您所描述的方法存在一些问题：

1. 将在本机客户端应用程序（SPA）上定义应用程序角色。虽然您可以在清单中从技术上定义应用程序角色，但您会注意到Azure门户不会让您将用户或组分配给本机客户端应用程序。 （哪种方式有道理，因为正如您正确地说的那样，您不想在本机客户端应用中执行任何访问控制。）
2. 您无法执行您所描述的内容（为一个受众群体换取access_token，为不同的受众群体换取id_token。您可以 做一些令牌交换的变体，但在这种情况下，它们都无法帮助您。

相反，您应该做的是在Web API上定义应用程序角色 。然后，将用户分配给Web API的相应应用程序角色。当这些用户登录SPA并且SPA获得代表他们访问Web API的访问令牌时，您会注意到访问令牌将包含roles声明，并填充了相应的值。< / p>

汇总：

1. 在Web API的App注册下，使用（例如）Azure AD PowerShell直接在应用清单中定义appRoles（或直接在Application对象上）。
2. 在用于Web API的企业应用下，将用户和/或组分配到其相应的应用角色，并选择是否需要应用角色分配*。 （或者直接在ServicePrincipal对象上执行此操作。）
3. 在SPA的应用注册（应用程序对象）下，添加Web API作为必需的权限。

*如果您选择要求Web API的应用角色分配（在Enterprise apps＆gt; Properties下），则SPA将无法为未分配给Web API的应用角色的用户获取访问令牌。如果您选择不来要求分配应用角色，则未分配应用角色的用户将能够登录SPA，并且SPA 将能够获得访问权限他们代表Web API使用令牌，但访问令牌不包含roles声明。