JWT中的Azure AD自定义声明

时间:2019-11-19 18:23:35

标签: azure sharepoint jwt azure-active-directory access-token

我有一个Azure AD应用,我正在尝试向JWT添加自定义声明。我正在为特定应用程序使用Azure中的声明映射功能,并更新了Azure门户中的应用程序清单以包括可选声明。但是,当我登录并查看解码的访问令牌时,令牌中没有声明。我没有找到太多与使用扩展属性作为声明有关的文档,但是从我发现的内容来看,它应该遵循相同的模式,但是不能正常工作。

当用户登录时,如何将源自AD用户对象中的自定义属性的自定义声明添加到JWT?

谢谢!

重新创建步骤

  1. 使用Azure AD Graph API注册目录扩展名

请求:

POST https://graph.windows.net/mytenant.onmicrosoft.com/applications/<application-object-id>/extensionProperties?api-version=1.5

身体:

{
   "name": "customUserRoles",
   "dataType": "String",
   "targetObjects": ["User"]
}
  1. 为扩展名的特定AD用户写入一个值

请求:

PATCH https://graph.windows.net/mytenant.onmicrosoft.com/users/user123@mytenant.onmicrosoft.com?api-version=1.5

身体:

{
   "extension_<appId>_customUserRoles": "My Custom Role 1, Another Role 2"
}
  1. 在PowerShell中,我安装了Azure AD模块:Install-Module -Name AzureADPreview
  2. 创建Azure AD策略
New-AzureADPolicy -Definition @('{"ClaimsMappingPolicy":{"Version": 1, "IncludeBasicClaimSet": "true", "
ClaimsSchema": [ { "Source": "user", "ID": "extension_<appId>_customUserRoles", "JwtClaimType": "customUserRoles" } ] } }') -DisplayName "customUserRoles" -Type "ClaimsMappingPolicy"
  1. 将策略添加到服务主体
Add-AzureADServicePrincipalPolicy -Id <service-principla-id> -RefObjectId <azure-ad-policy-id>
  1. 在Azure门户中,导航到Azure AD->应用程序注册->我的应用程序->清单
  2. 更新以下属性
{
   ...
   "acceptMappedClaims: true,
   "optionalClaims": {
      "idToken": [
         {
            "name": "extension_<appId>_customUserRoles",
            "source": "user",
            "essential": false,
         }
      ],
      "accessToken": [
         {
            "name": "extension_<appId>_customUserRoles",
            "source": "user",
            "essential": false,
         }
      ],
      "samlToken": []
   }
}
  1. 保存文件
  2. 导航到https://login.microsoftonline.com/mytenant.onmicrosoft.com/oauth2/authorize?client_id=<appId>&response_type=token&resource=https://mytenant.sharepoint.com并使用Azure AD用户帐户user123@mytenant.onmicrosoft.com登录
  3. 在URL中,复制access_token参数的值
  4. 导航到https://jwt.ms并将访问令牌粘贴到文本区域
  5. 在“已解码令牌”部分中,存在自定义声明 customUserRoles

我的期望是我应该在解码的令牌中看到一个名为customUserRolesextn.customUserRoles的新声明。

我缺少什么步骤?在此过程中,我没有遇到任何错误,但是它似乎并没有按照文档说明的那样工作。

参考资料

我已经阅读了有关以下主题的Microsoft文档:

可选声明:https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-optional-claims

索赔映射:https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-claims-mapping

我还阅读了与此相关的各种论坛帖子和博客文章:

https://devonblog.com/cloud/azure-ad-adding-employeeid-claims-in-azure-ad-jwt-token/

http://www.redbaronofazure.com/?p=7566

https://social.msdn.microsoft.com/Forums/en-US/3e5114b6-24d6-4c60-b72b-b4c90baeecac/access-token-missing-optional-claims-that-are-schema-extensions-implicit-grant-flow

https://social.msdn.microsoft.com/Forums/en-US/dbeeed63-8d3f-4c27-b416-431f9fe6c729/providing-directory-extension-optional-claims-and-returning-value-within-token?forum=WindowsAzureAD

1 个答案:

答案 0 :(得分:0)

基于this official文档:

  

访问令牌始终使用资源清单生成,   不是客户。所以在要求   ... scope = https://graph.microsoft.com/user.read ...资源是   图形。因此,访问令牌是使用Graph清单创建的,而不是   客户的清单。为您的应用程序更改清单   永远不要使Graph的标记看起来不同。为了验证   您的accessToken更改已生效,请为您的   应用程序,而不是另一个应用程序。

并且根据您的要求,如果要对访问令牌进行某些更改是不可能的,该访问令牌的资源是在线共享点,这是由MSFT创建和管理的多租户应用程序。

对于this doc,我还为您做了一些研究。同样,您应该控制服务端应用程序,以便可以实现这一目标。

这是我的策略角色分配命令:

$nsp = New-AzureADPolicy -Definition @('{"ClaimsMappingPolicy":{"Version":1,"IncludeBasicClaimSet":"true", "ClaimsSchema": [{"Source":"user","ID":"mailnickname","JwtClaimType":"testclaim"}]}}') -DisplayName "StanCustomCliamDemo_surname" -Type "ClaimsMappingPolicy"

Add-AzureADServicePrincipalPolicy  -RefObjectId $nsp.Id -Id '<obj id of service side app>'

令牌结果: enter image description here

此外,请注意extension_<appId>_customUserRoles不是有效的用户源ID。有关所有有效的用户源ID,请参考here

希望有帮助。

相关问题
最新问题