个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我已经建立了一个项目,例如来自 Microsoft 的以下示例,其中我有一个 native 应用程序请求使用 v2.0 端点访问 Web API:https://github.com/azureadquickstarts/appmodelv2-nativeclient-dotnet
我已使用在 AAD 中注册的帐户而非 Microsoft 帐户成功登录到 AAD。我确实收到了 claim ,但是 claim 既不包含 upn 也不包含电子邮件。我正在使用 jwt.ms 来分析 claim ,这是我从 claim 中收到的信息:
{
"typ": "JWT",
"alg": "RS256",
"kid": "1LTMzakihiRla_8z2BEJVXeWMqo"
}.{
"aud": "Client ID/ App ID",
"iss": "https://login.microsoftonline.com/tenantid/v2.0",
"iat": 1534758037,
"nbf": 1534758037,
"exp": 1534761937,
"aio": "ATQAy/8IAAAA+PZj+5vnrUwDfqTTKNBDcy0Tl7rOztkxzrb9YWXHVlevKwrlsGBP/gYAvL4bwr2G",
"azp": "Client ID/ App ID",
"azpacr": "0",
"e_exp": 262800,
"name": "xxx yyy",
"oid": "9cc37e1d-0490-4cf4-9bb8-c872899dee91",
"preferred_username": "test@tenantname.onmicrosoft.com",
"scp": "access_as_user",
"sub": "2l0nasrd8QbBpiEu1RGLFCavj3SzTzizIgmKAiMbdU0",
"tid": "tenantid",
"uti": "HG2cIi_MGUyBxBl6MzFPAA",
"ver": "2.0"
}.[Signature]
我不明白为什么我在 claim 中没有收到 UPN。如果有任何帮助,我将不胜感激!
最佳答案
您需要确保您还请求了 openid 和 profile 范围。关于哪些范围在各个权利要求中提供哪些信息的信息可以在文档中找到 here一些基本的概述信息 here我下载了您引用的示例。在 App.config 文件中,我将范围键更改为/access_as_user openid profile email"/> 并运行代码。这导致获得 preferred_username 声明 - "表示 v2.0 端点中用户的主要用户名。它可以是电子邮件地址、电话号码或没有指定格式的通用用户名。它的值是可变的,可能会随着时间而改变。需要配置文件范围才能接收此声明。”openid、profile 和 email 范围是 V2 端点中众所周知的范围的一部分,在 Azure AD developer's documentation 中进行了讨论。 .要查看那些众所周知的范围,您可以转到 URL:
https://login.microsoftonline.com/{tenant}/v2.0/.well-known/openid-configuration
其中 {tenant} 可以替换为 common = 同时拥有个人 Microsoft 帐户和来自 Azure Active Directory (Azure AD) 的工作或学校帐户的用户可以登录应用程序。 organizations = 只有拥有 Azure AD 工作或学校帐户的用户才能登录应用程序。 消费者 = 只有拥有个人 Microsoft 帐户的用户才能登录应用程序。 tenantGUID 或 tenantName =(您的特定 Azure AD 租户 ID 或名称 - 即 contoso.onmicrosoft.com)单个租户的用户可以访问该应用程序。可以使用 Azure AD 租户的友好域名或租户的 GUID 标识符。
转到 https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration URL,您将获得 JSON,其中显示在scopes_supported 部分:
"scopes_supported":
[
"openid",
"profile",
"email",
"offline_access"
],
这四个范围是 v2 端点的特殊范围,因此当您请求它们时,您不需要查看这些范围正在访问的应用程序或服务主体。它们在某种程度上对 v2 端点是全局的,因此当您请求它们时,您请求它们作为 openid profile email offline_access 不应将应用程序标识符用于这些范围。
关于jwt - 使用 v2.0 终结点的声明中缺少 UPN,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51928314/
26
4
0
如何从 Active Directory 获取我的 UPN?我需要测试一个使用 Upn Claim 类型的应用程序...... 最佳答案 这个命令应该可以工作。 C:> whoami /upn who
我们的租户中有 Azure AD,由我们的本地 AD 填充。 我们有一个外部应用程序当前正在使用基于表单的身份验证(用户帐户存储在数据库中)。我正在考虑将这些用户帐户导入到新的 Azure B2C 目
我们正在尝试设置 Azure AD 连接,但似乎无法达到我们想要的情况。我们当前的情况是本地 AD,我们为所有用户(以及所有外部用户)填写电子邮件字段。我们的管理员有一个普通帐户和一个管理员帐户。所有
我现在正在使用 GSSAPI 对跨平台应用程序进行 Kerberized。虽然我不太清楚 UPN 和 SPN 之间的区别。 开发环境是 CentOS 6.4 上的 Samba4 AD DC 服务器,带
我想了解 Azure AD 上下文中 SPN 和 UPN 之间的区别。我的理解是在Azure AD中建立身份有三种方式 用户输入用户名和密码来建立身份 使用 ClientId 和 Secret Key
在System.IdentityModel.Claims中,存在三个条目:UPN,Name和NameIdentifier “http://schemas.xmlsoap.org/ws/2005/05/
我已经建立了一个项目,例如来自 Microsoft 的以下示例,其中我有一个 native 应用程序请求使用 v2.0 端点访问 Web API:https://github.com/azureadq
我已将 Power App 连接到 Azure Application Insights 以跟踪使用情况。 记录事件时,用户 ID 会与 Azure Active Directory ID(Guid)
我正在尝试将所有 AzureAD cmdlet 转换为 Graph cmdlet。 我们有一个脚本可以获取所有帐户并找到其管理员 UPN。 $allUsers = Get-MgUser -all -s
我当前正在尝试从 Microsoft Graph 访问特定资源使用以下代码: private const string _userUrl = "https://graph.microsoft.com/
我正在为我的 WEB API 应用程序使用 Azure AD 身份验证,并且我能够从 token 获取 ClaimsPrincipal 和声明,但我没有在声明中获取“upn”(“http://sche
我们有一个辅助 AAD,其中包含来自主要 AAD 的 guest 用户。为 guest 用户生成的 token 似乎缺少 upn 声明,但我们依赖于存在 upn 声明的事实,因为这是我们用来跨系统映射
在带有 GraphAPI 的 Azure B2C 中,我可以使用 http PATCH 命令更改现有用户的电子邮件地址: https://azure.microsoft.com/nl-nl/docum
我尝试利用 Powershell 中的 .Net ADAL 库通过 MS Graph 更新联合域中 Azure AD 用户(通过 Azure AD Connect 加载)的 UPN。我相当确定我已在
在添加对使用用户的 samAccountName 通过 Active Directory 对用户进行身份验证的支持时,我意外地使用 UPN 格式的 samAccountName 进行了身份验证。 示例
需要快速帮助。 我正在使用 LDAP 通过 Activity 目录进行身份验证, 我想知道如何从 UPN 别名中获取域的所有 UPN 别名, 他们有办法得到这个吗? 请帮忙! 最佳答案 您实际上可以从
我写了一个 Windows 服务托管的 WCF 服务。已部署或本地主机工作正常,我的客户端应用程序可以使用它。 如果我更改 Windows 服务的登录设置并设置域用户(从默认的“本地系统”更改),我的
我正在编写一个 DLL,它具有在不使用用户密码的情况下获取 Alfresco 登录票证的功能,仅使用用户主体名称 (UPN)。我正在调用 alfresco REST API 服务 /wcservice
我不是 .NET 开发人员,我觉得这对于以下人员来说是微不足道的: 我有一个 C# Web 应用程序,它使用户使用已登录用户的用户凭据。目前它使用来自 的 SID System.Security.Pr
我在Azure Active Directory中注册了应用程序,我们使用应用程序ID和 secret 来访问不同的资源,这里是请求访问 token 的示例代码 var authority = $"h
我是一名优秀的程序员,十分优秀!