我使用ADAL JS身份验证创建了带有WEBAPI后端的角度SPA。由于AD中没有角色,我需要手动添加角色声明,以便用户可以访问不同的API控制器。
角色存储在数据库中。我希望在通过AD认证后通过调用webapi注入额外的声明。 webapi代码可能如下所示。
identity.AddClaim(new Claim("role", "user"));
var ticket = new AuthenticationTicket(identity, props);
var accessToken = Startup.OAuthBearerOptions.AccessTokenFormat.Protect(ticket);
是否可以用这个新令牌替换ADAL IDtoken?
这是一个可行的解决方案还是有其他更好的方法来解决这个问题?
由于AzureAD生成了初始令牌,是否可以编辑令牌以添加新声明?任何帮助表示赞赏。
答案 0 :(得分:0)
Graph api支持群组声明。见这里:http://justazure.com/azure-active-directory-part-4-group-claims/
如果您查看该页面上的示例,则会将用户分配到群组,您的应用可以检查声明中的群组。在当前版本的门户中,您需要获取应用清单并对其进行修改。