如何从 azure-active-directory 获取具有特定组声明的令牌

How to get a token with a specific group claim from azure-active-directory

我有一个客户端 .Net 应用程序,它使用 ADAL 访问 Azure 上的 Web API 应用程序 运行。

服务器具有验证用户属于特定安全组的自定义代码。

问题是我的用户属于太多组,导致 AAD 根本不在令牌中包含组列表。

因此我的自定义代码再次调用 AAD 图 API 以验证用户是否属于该组 - 除了客户端为获取身份验证令牌所做的调用之外。

有没有办法告诉 AAD 仅 return 组声明中的这个特定组(以便 AAD 将其包含在令牌中)?

如果有任何其他想法(除了我目前没有的缓存)会阻止我进行第二次调用,我们将不胜感激。

截至今天,AAD 无法发送用户组的子集。一个可能的技巧是为您的应用程序定义一个角色,然后将该组分配给该角色。在这种情况下,只有当用户属于该组时,您才会在令牌中看到角色。 HTH