我创建了一个rest web api,并希望使用不记名令牌来保护它。没关系。 但我也想要在azure活动目录中添加关于用户配置文件的额外声明(来自AAD的officenumber)。首先,我试图让我的安全人员通过ADFS添加额外的索赔。但他说没有。他希望我将azure graph api称为所需索赔。 但如何在API中执行此操作? 我没有“登录”方法。我不想要一个带有身份信息的额外数据库。
答案 0 :(得分:0)
Here您可以找到有关如何从API调用Graph API(代表用户)的示例,特别是this代码。请注意,代表用户调用Graph并不是强制性的,根据您的需求/场景,您可以使用客户端凭据流(没有用户断言)将Graph称为API(app)本身。
答案 1 :(得分:0)
AFAIK,目前仍无法通过Azure AD的OAuth / OIDC流自定义声明。
我是否需要在每次请求时调用图表api。我的Senario是公正的。用户在AAD上执行SSO,然后注册客户端webapp(angular2)并允许其调用webapi。然后在api我想评估与所需要求和auhorisations policys的auhorization。在这个过程中,我需要更多的声明,即officenumber
没有。您可以在用户登录后生成声明,然后将这些信息组合以生成新的JWT令牌。之后,您的后端只需要验证包含SPA生成的自定义信息的令牌。