我有一个客户端 .Net 应用程序,它使用 ADAL 访问在 azure 上运行的 Web API 应用程序。
服务器具有验证用户是否属于特定安全组的自定义代码。
问题是我的用户属于太多组,这导致 AAD 根本不将组列表包含在 token 中。
因此,除了客户端为获取身份验证 token 而进行的调用之外,我的自定义代码还对 AAD Graph API 进行了另一次调用,以验证用户是否属于该组。
有没有办法告诉 AAD 仅返回组声明中的这个特定组(以便 AAD 将其包含在 token 中)?
任何其他阻止我进行第二次调用的想法(除了我目前没有的缓存之外)将不胜感激。
最佳答案
截至目前,AAD 无法发送用户组的子集。一个可能的技巧是为您的应用程序定义一个角色,然后将该组分配给该角色。在这种情况下,仅当用户属于该组时,您才会在 token 中看到角色。 HTH
关于azure - 如何从 azure-active-directory 获取具有特定组声明的 token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27947442/