Azure Active Directory 组申请申请
Azure Active Directory Groups Claim for Application
我们为不同的客户及其员工使用 Active Directory 组。为经过身份验证的用户配置组 accessToken 声明非常简单。现在,当一个应用程序不代表用户而是代表它自己(client_credentials 流),并且该应用程序是 AD 组中的成员时,是否可以为该应用程序的成员资格配置 accessToken 声明?如果是,怎么做?
我已尝试在 Azure/Active Directory/Token 配置中进行配置,但它只提供经过身份验证的用户组,而不是应用程序本身的用户组。
谢谢。
我认为你的描述有问题。您在问题中说:并且该应用是广告组中的成员。据我所知,一个群组的成员只能是用户、组织联系人、服务负责人或其他群组,没有申请。
我觉得你想说的是你给应用分配了用户或组(理解有误请指正),像这样:
据我所知,应用程序令牌没有组声明(用户令牌有组声明,如您在问题中所说),因为应用程序不是组的成员。
如果你想获得分配给应用程序的组,MS graph api 是一个不错的选择:
https://graph.microsoft.com/beta/servicePrincipals/{id}/appRoleAssignedTo
您需要将 {id} 替换为 Object ID:
我们为不同的客户及其员工使用 Active Directory 组。为经过身份验证的用户配置组 accessToken 声明非常简单。现在,当一个应用程序不代表用户而是代表它自己(client_credentials 流),并且该应用程序是 AD 组中的成员时,是否可以为该应用程序的成员资格配置 accessToken 声明?如果是,怎么做?
我已尝试在 Azure/Active Directory/Token 配置中进行配置,但它只提供经过身份验证的用户组,而不是应用程序本身的用户组。
谢谢。
我认为你的描述有问题。您在问题中说:并且该应用是广告组中的成员。据我所知,一个群组的成员只能是用户、组织联系人、服务负责人或其他群组,没有申请。
我觉得你想说的是你给应用分配了用户或组(理解有误请指正),像这样:
据我所知,应用程序令牌没有组声明(用户令牌有组声明,如您在问题中所说),因为应用程序不是组的成员。 如果你想获得分配给应用程序的组,MS graph api 是一个不错的选择:
https://graph.microsoft.com/beta/servicePrincipals/{id}/appRoleAssignedTo
您需要将 {id} 替换为 Object ID: