我有一个关于使用MSAL.JS 1.1.3将扩展声明添加到idToken的查询–似乎可以在扩展属性为added into an AAD application但不能通过AAD Connect的情况下使用。
我需要做些什么来确保令牌中包含AAD Connect同步扩展属性?
我具有以下具有2个扩展属性的设置(extension_ {id} customOptionalclaimApplicationUserCode(在AAD中添加)和扩展 {id} _stuExtensionAttriibute1(从本地AD通过AAD Connect添加到AAD): PowerShell displaying attributes
客户想要使用清单,所以我设置了this。
解码后的令牌仅包含根据this image的extn.CustomOptionalClaimApplicationUserCode
客户更喜欢使用清单可选声明as per the example来获得每个应用程序的最小特权,而不是声明映射策略。
要重复这个问题:我需要做些特别的事情来确保令牌声明中包含AAD Connect同步扩展属性吗?
答案 0 :(得分:0)
从您的屏幕截图中,extension_{id}_customOptionalclaimApplicationUserCode
的ID与extension_{id}_stuExtensionAttriibute1
的ID不同。
两个ID之一是应用程序本身的ID。另一个是AD Connect使用的应用程序ID。
现在,事实是,在API中,一个扩展属性位于应用程序上。
但是,您只能从令牌中的应用程序获取扩展声明值。 换句话说,资源ID应该与扩展名中的ID相同,然后您才能获得扩展名的值。有关更多详细信息,请参见:Configuring optional claims
因此,您得到的结果是预期的。从本地同步的扩展名将不包含在令牌中。