个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我们正在 Azure 中开发 Multi-Tenancy SaaS 产品,该产品具有 AngularJS 前端和 Web API 后端。我们使用 Azure AD 进行身份验证,并将其与 ADAL JS 连接起来(使用 OAuth2 隐式授权)。作为一个 Multi-Tenancy 应用程序,我们允许客户根据自己的 Azure AD(可能会也可能不会连接到本地 AD)进行身份验证。
到目前为止,一切都很顺利。 ADAL JS 将用户带到 Azure 登录页面,用户经过身份验证后,就会颁发 OAuth2 token 。然后,此 JWT token 作为不记名 token 与所有 API 调用一起发送,我们有自己的声明转换过程,用于将来自 Azure 的传入声明映射到我们的应用程序声明。
我们尝试通过 AD 组来完成此操作,而不是在声明转换过程中指定单个用户。这允许我们的客户在他们的 AD 中拥有安全组,然后我们的应用程序将使用它来映射到正确的应用程序声明。
尽管我们在 AAD 应用程序 list 中将 groupMembershipClaims 设置为 SecurityGroup,但我们收到的 JWT token 不包含 groups 属性。我后来读到了this tweet from Vittorio那个
The implicit grant will NOT send those claims, as it returns the token in the querystring - it's easy to blow past max length
经过进一步调查,我还发现this StackOverflow answer from Vittorio这说的是
I verified and in the implicit grant case you will receive groups always via the overage claim. Please refer to https://github.com/AzureADSamples/WebApp-GroupClaims-DotNet/tree/master/WebApp-GroupClaims-DotNet - it will show you how to process the overage claim to retrieve groups.
我查看了 JWT token ,它不包含任何超额声明(由 _claim_names 和 _claim_sources 标识)。我绝对是 Azure AD 中两个组的成员。
关于是否可以在隐式授予 token 中获取组信息(无论是直接还是间接),我现在似乎还有两个相互矛盾的陈述。
问题 1:我是否应该获得可用于获取团体信息的超额 claim ?如果是这样,我需要做些什么来确保 claim 被发送给我吗?
无论我是否可以通过图形 API 中的用户链接获得超额 claim ,或者是否必须手动创建链接来获取用户组,我仍然有点不确定如何使用图形 API 进行身份验证。
在收到带有不记名 token (来自 ADAL JS)的请求后,我需要从后端联系图形 API。
问题 2:我可以将相同的不记名 token 发送到图形 API 来读取该用户的目录信息吗?或者我是否需要在应用程序上下文中直接从我的应用程序向图形 API 租户进行身份验证,而不是用户?
最佳答案
对于此处的困惑表示歉意。我会仔细检查有关超额的声明,但无论如何 - 为了快速解锁您,我们假设您需要在没有超额声明帮助的情况下手动获取组。您无法重复使用发送到 Web API 的 token 。该 token 的范围仅限于您的应用程序,任何其他接收者都会(或应该)拒绝它。好消息是,后端可以请求图形范围内的新 token 的流程很容易实现。请参阅https://github.com/AzureADSamples/WebAPI-OnBehalfOf-DotNet - 您的案例的详细信息有点不同(您的 Web API 具有应用程序的受众 == clientid),但涉及的拓扑和代码/调用完全相同。哈!五、
关于angularjs - 在 ADAL JS 中使用 Azure AD 和 OAuth2 隐式授予对声明进行分组,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29762551/
25
4
0
我需要将文本放在 中在一个 Div 中,在另一个 Div 中,在另一个 Div 中。所以这是它的样子: #document Change PIN
奇怪的事情发生了。 我有一个基本的 html 代码。 html,头部, body 。(因为我收到了一些反对票,这里是完整的代码) 这是我的CSS: html { backgroun
我正在尝试将 Assets 中的一组图像加载到 UICollectionview 中存在的 ImageView 中,但每当我运行应用程序时它都会显示错误。而且也没有显示图像。 我在ViewDidLoa
我需要根据带参数的 perl 脚本的输出更改一些环境变量。在 tcsh 中,我可以使用别名命令来评估 perl 脚本的输出。 tcsh: alias setsdk 'eval `/localhome/
我使用 Windows 身份验证创建了一个新的 Blazor(服务器端)应用程序,并使用 IIS Express 运行它。它将显示一条消息“Hello Domain\User!”来自右上方的以下 Ra
这是我的方法 void login(Event event);我想知道 Kotlin 中应该如何 最佳答案 在 Kotlin 中通配符运算符是 * 。它指示编译器它是未知的,但一旦知道,就不会有其他类
看下面的代码 for story in book if story.title.length < 140 - var story
我正在尝试用 C 语言学习字符串处理。我写了一个程序,它存储了一些音乐轨道,并帮助用户检查他/她想到的歌曲是否存在于存储的轨道中。这是通过要求用户输入一串字符来完成的。然后程序使用 strstr()
我正在学习 sscanf 并遇到如下格式字符串: sscanf("%[^:]:%[^*=]%*[*=]%n",a,b,&c); 我理解 %[^:] 部分意味着扫描直到遇到 ':' 并将其分配给 a。:
def char_check(x,y): if (str(x) in y or x.find(y) > -1) or (str(y) in x or y.find(x) > -1):
我有一种情况,我想将文本文件中的现有行包含到一个新 block 中。 line 1 line 2 line in block line 3 line 4 应该变成 line 1 line 2 line
我有一个新项目,我正在尝试设置 Django 调试工具栏。首先,我尝试了快速设置,它只涉及将 'debug_toolbar' 添加到我的已安装应用程序列表中。有了这个,当我转到我的根 URL 时,调试
在 Matlab 中,如果我有一个函数 f,例如签名是 f(a,b,c),我可以创建一个只有一个变量 b 的函数,它将使用固定的 a=a1 和 c=c1 调用 f: g = @(b) f(a1, b,
我不明白为什么 ForEach 中的元素之间有多余的垂直间距在 VStack 里面在 ScrollView 里面使用 GeometryReader 时渲染自定义水平分隔线。 Scrol
我想知道,是否有关于何时使用 session 和 cookie 的指南或最佳实践? 什么应该和什么不应该存储在其中?谢谢! 最佳答案 这些文档很好地了解了 session cookie 的安全问题以及
我在 scipy/numpy 中有一个 Nx3 矩阵,我想用它制作一个 3 维条形图,其中 X 轴和 Y 轴由矩阵的第一列和第二列的值、高度确定每个条形的 是矩阵中的第三列,条形的数量由 N 确定。
假设我用两种不同的方式初始化信号量 sem_init(&randomsem,0,1) sem_init(&randomsem,0,0) 现在, sem_wait(&randomsem) 在这两种情况下
我怀疑该值如何存储在“WORD”中,因为 PStr 包含实际输出。? 既然Pstr中存储的是小写到大写的字母,那么在printf中如何将其给出为“WORD”。有人可以吗?解释一下? #include
我有一个 3x3 数组: var my_array = [[0,1,2], [3,4,5], [6,7,8]]; 并想获得它的第一个 2
我意识到您可以使用如下方式轻松检查焦点: var hasFocus = true; $(window).blur(function(){ hasFocus = false; }); $(win
我是一名优秀的程序员,十分优秀!