为了确保AAD Connect同步扩展属性包含在令牌声明中,我需要做些特别的事情吗?

时间:2019-11-27 22:29:28

标签: azure-active-directory

我有一个关于使用MSAL.JS 1.1.3将扩展声明添加到idToken的查询–似乎可以在扩展属性为added into an AAD application但不能通过AAD Connect的情况下使用。

我需要做些什么来确保令牌中包含AAD Connect同步扩展属性?

我具有以下具有2个扩展属性的设置(extension_ {id} customOptionalclaimApplicationUserCode(在AAD中添加)和扩展 {id} _stuExtensionAttriibute1(从本地AD通过AAD Connect添加到AAD): PowerShell displaying attributes

客户想要使用清单,所以我设置了this

解码后的令牌仅包含根据this image的extn.CustomOptionalClaimApplicationUserCode

客户更喜欢使用清单可选声明as per the example来获得每个应用程序的最小特权,而不是声明映射策略。

要重复这个问题:我需要做些特别的事情来确保令牌声明中包含AAD Connect同步扩展属性吗?

1 个答案:

答案 0 :(得分:0)

从您的屏幕截图中,extension_{id}_customOptionalclaimApplicationUserCode的ID与extension_{id}_stuExtensionAttriibute1的ID不同。

两个ID之一是应用程序本身的ID。另一个是AD Connect使用的应用程序ID。

现在,事实是,在API中,一个扩展属性位于应用程序上。

但是,您只能从令牌中的应用程序获取扩展声明值。 换句话说,资源ID应该与扩展名中的ID相同,然后您才能获得扩展名的值。有关更多详细信息,请参见:Configuring optional claims

enter image description here

因此,您得到的结果是预期的。从本地同步的扩展名将不包含在令牌中。