我目前正在尝试根据用户群授权我的api。在Azure Active Directory中启用组声明后,我意识到组声明不包括在access_token中,而是包含在id_token中。
我试图避免向图表api发送makings请求,并且我已经看到有关azure活动目录声明映射的内容(https://docs.microsoft.com/en-us/azure/active-directory/active-directory-claims-mapping)
但是由于缺乏信息和示例,我不确定如何处理这个问题。
有关如何将额外声明纳入访问令牌的任何建议?
答案 0 :(得分:2)
您也可以在访问令牌中获取组ID。
但API应用清单必须包含:
{
"groupMembershipClaims": "SecurityGroup"
}
请注意,这必须位于API清单中,而不是客户端应用的清单。
答案 1 :(得分:0)
在AAD中,当您创建SSO应用程序时,您可以创建自定义声明,您可以在其中自定义从AAD到目标应用程序的SAML响应。
有关详细信息,请参阅this。