Azure AD,如何为OIDC /userinfo请求添加用户声明
我正在Azure AD中实现一个新的“注册”应用程序,为此我需要在用户身份验证过程中获取用户的Samaccountname值作为首选声明。这些应用程序可以处理oidc请求,所以我试图找到一种方法,在用户的配置文件(get https://graph.microsoft.com/oidc/userinfo)中添加一个新的声明,其中包含从本地active directory同步的SamaccountName属性“extension _ CDA 8 B3 EAF DFB 4 aa 0 b 27 ca 9860634 FD 74 _ Sam account name”。不幸的是,经过多次研究和测试,我找不到实现这一点的方法。将赞赏任何关于这个主题的经验,谢谢
在我探索声明映射策略技术(https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-claims-mapping)之前,请在标识令牌中创建并返回自定义声明,因为应用也可以实现 Oauthv2。但是,我在应用程序中没有任何灵活性来更改可以从令牌(硬编码)读取的声明列表。这种灵活性只能通过oidc配置来提供,我可以在其中选择首选声明。
共有2个答案
根据我的理解,你想要将自定义属性 Samaccountname 添加到 Azure AD 中。
您应该使用Azure广告图API来实现它:
POST https://graph.windows.net/contoso.onmicrosoft.com/applications/269fc2f7-6420-4ea4-be90-9e1f93a87a64/extensionProperties?api-version=1.5 HTTP/1.1
Authorization: Bearer eyJ0eXAiOiJKV1Qi...r6Xh5KVA
{
"name": "Samaccountname",
"dataType": "String",
"targetObjects": [
"User"
]
}
使用Azure AD图形资源管理器对其进行快速测试。
详情见此。
请注意,此API仅支持1.0版Azure广告应用程序(不支持个人帐户)。
此外,Microsoft强烈建议您使用Microsoft Graph而不是Azure AD Graph API来访问Azure Active Directory资源。有关如何使用Microsoft Graph API向Azure AD用户添加自定义属性,请参阅:使用开放扩展向用户添加自定义数据。
更新:
对不起,耽搁了。请不要在不是答案的情况下添加答案。您可以编辑问题以更新帖子。
“extension_cda8b3eafdfb4aa0b27ca9860634fd74_sAMAccountName”这种格式的自定义属性由 Azure AD Graph 托管,而不是 Microsoft Graph。通过 Microsoft Graph 无法查看自定义属性。
您可以调用AAD Graph APIendpoint来获取预期的自定义属性:
GET https://graph.windows.net/myorganization/users
在AAD Graph Explorer中进行快速测试。
非常感谢,但是我意识到我的问题很混乱。在我的例子中,samaccountname扩展属性已经存在于onpremise Adconnect同步中。其中PS C:\Users\HEDEP
-
在我的shiro.ini中,我配置了两个领域,即LDAP和JDBC 但我无法设置身份验证请求超时。 ConfigurationException:com.bc.xyz.auth.EFGLDAPRealm类型的对象不存在属性“连接超时”。在org.apache.shiro.config.reflectionBuilder.istypedProperty(reflectionBuilder.java:
-
我有一个使用. NET 6 Web API的应用程序。一旦用户登录到应用程序,关于该用户的基于小上下文的信息被附加到查询参数。 API中AuthPolicy的一部分是,当调用endpoint时,这些查询参数必须存在,即使该endpoint没有使用它们。 例如,此 终结点具有在请求正文中传递的实际输入,但 AuthPolicy 要求查询参数存在,即使未使用它也是如此。 有效EX: 无效的EX: 有没
-
我正在尝试使用JQuery在Ajax中向请求添加头。 以下是代码:- 然后我使用了要求(要求是chrome火狐插件,我们可以手动添加一个标题到请求)。 手动添加标题后:- 在这两个pics请求头中,“ACCESS-CONTROL-request-HEADERS”中都有x-auth-token,但第二个pic中有“x-auth-token”头和头值,而第一个pic中没有。 所以我的问题是如何使用JQ
-
我试图在请求中添加客户端进度条。理想的做法是获取请求头大小并接收 我对了解不多,但据我所知,必须启动请求才能实现这一点(请参见此处) PS1.虽然主要的范围为这,是一个文件上传进度条,我希望能够申请的全部请求大小。PS2.我知道有几个图书馆免费提供这一点,但ATM我不想使用任何。
-
问题内容: 如何使用Dockerfile添加用户-以下内容不起作用。 我完整的Dockerfile: 问题答案: 使用而非交互来添加用户。 以下命令不会创建user。 它将使用用户 请参考Dockerfile用户文档 USER指令设置运行映像时使用的用户名或UID,以及Dockerfile中跟随该映像的所有RUN,CMD和ENTRYPOINT指令。 注意: 确保这是默认外壳程序。 如果使用默认外壳
-
问题内容: 当我转到mydomain.com:8080时,默认情况下没有授权机制。我看过配置区域,但是找不到任何地方来添加基本的用户名和密码 问题答案: 转到 管理Jenkins >配置全局安全性,_然后选择 _启用安全性 复选框。 对于基本的用户名/密码认证,我会建议选择 詹金斯自己的用户数据库 在安全领域,然后选择 登录用户可以做任何事情 的或基于矩阵策略(在当你有多个用户以不同的权限的情况下