Блог

Главная - Вопросы по программированию - HasGroup = true отображается в заявках на токены jwt, но значения ролей не отображаются

HasGroup = true отображается в заявках на токены jwt, но значения ролей не отображаются

#angular #azure #jwt #msal

#angular #azure #jwt #msal

Вопрос:

Я добавил групповые утверждения в конфигурацию токена (приложение Azure Ad). Я получаю значение HasGroup: true в моем токене, но не получаю в нем список групп. Пожалуйста, помогите.

  "claims": {
      "aud": "a9c3b904-326c-4bee-bd6b-96fac74d8ede",
      "iss": "https://login.microsoftonline.com/..../v2.0",
      "iat": 1613638734,
      "nbf": 1613638734,
      "exp": 1613642634,
      "aio": "AVQAq/8TAAAA2GRwia3aJdRHuLybqI0/D8Vts36/cYj5AXp232Gp4DskwYzRlQ0ssN13qovqDODAUZv CwozLJzwINbRzfRlR8VEJCT6ShTPPHF4eTNuqyY=",
      "hasgroups": "true",
      "name": "abc (EXT)",
      "nonce": "0da36184-4222-4816-b295-ed506d4f8e3c",
      "oid": "41527112-ccae-4978-9858-b3f120a0cd07",
      "preferred_username": "abc.com",
      "rh": "0.ARAAZCy4K7Eu90OIYv3B0jM7UAS5w6lsMu5LvWuW-sdNjt4QAGk.",
      "sub": "TCmqF1NyPUDsblQkqYlsNKKMuDf1LpOBvfO-ecTinwM",
      "tid": "2bb82c64-2eb1-43f7-8862-fdc1d2333b50",
      "upn": "abc.com",
      "uti": "VVXzO-Q1tEyQ2rlct1TaAA",
      "ver": "2.0"
    },

Комментарии:

1. Это может произойти с группами; у пользователя их слишком много, чтобы включать их в токен. Проверьте документы для параметров групповых утверждений: docs.microsoft.com/en-us/azure/active-directory/hybrid /. … Возможно, вы захотите настроить его так, чтобы включать только группы, назначенные приложению, и назначать их. (хотя это платная функция) В противном случае вы можете рассмотреть возможность использования вместо этого ролей приложений или извлечения групп из MS Graph API.

2. @juunas, я перепробовал большинство вариантов с этой страницы .. но никакой помощи: ( спасибо за ваш ответ

Ответ №1:

Найдено решение, перейдите к опции Enterprise application, найдите свое приложение и нажмите user amp; group внутри вашего портала приложений. Если вы видите какую-либо группу, назначенную там, тогда ОК, в противном случае добавьте к ней группу. Теперь перейдите в Azure AD -> Регистрация приложения -> приложение -> конфигурация токена -> добавить групповое утверждение, нажмите на группу, назначенную этому приложению, sAMAccountName (для токена).. ПЕРЕЙДИТЕ к манифесту и установите

  "groupMembershipClaims": "ApplicationGroup",

теперь извлеките JWT-токен, вы увидите массив групп в вашем jwt-токе.

Если ваша учетная запись синхронизирована с AD Connect, вы увидите имя группы, в противном случае идентификатор группы