在ADAL JS中使用Azure AD和OAuth2隐式授予分组声明
我们正在Azure中开发一个多租户SaaS产品,它具有AngularJS前端和Web API后端。我们使用Azure AD进行身份验证,并将其与ADAL JS挂钩(使用OAuth2隐式授权)。作为一个多租户应用程序,我们允许客户对他们自己的Azure广告进行身份验证(该广告可能连接到也可能不连接到内部广告)。
到目前为止,这一切都运行良好。ADAL JS将用户带到Azure登录页面,一旦用户进行了身份验证,就会发出一个OAuth2令牌。然后将这个JWT令牌作为承载令牌与所有API调用一起发送,我们有自己的声明转换过程,用于将传入的声明从Azure映射到应用程序声明。
在收到带有承载令牌的请求(来自ADAL JS)后,我需要从后端联系graph API。
问题2:我可以将相同的承载令牌发送到graph API以读取该用户的目录信息吗?或者我需要直接从我的应用程序到应用程序上下文中的graph API承租人而不是用户进行身份验证吗?
共有1个答案
抱歉这里的混乱。我会再次检查关于超期的声明,但无论如何--为了快速解除对您的封锁,让我们假设您需要手动获取组,而不需要超期索赔的帮助。不能重用发送到Web API的令牌。令牌的作用域是您的应用程序,任何其他接收者都将(或应该)拒绝它。好消息是,您的后端可以通过它请求一个新的图范围内的令牌的流程很容易实现。请参阅https://github.com/azureadsamples/webapi-onbehalfof-dotnet-您的案例中的详细信息有点不同(您的web API具有应用程序的paudies==clientid),但拓扑结构和涉及的代码/调用完全相同。赫特!V.
-
问题内容: 我们正在Azure中开发多租户SaaS产品,该产品具有AngularJS前端和Web API后端。我们使用Azure AD进行身份验证,并将其与ADAL JS(使用OAuth2隐式授予)挂钩。作为多租户应用程序,我们允许客户针对自己的Azure AD(可以连接也可以不连接到本地AD)进行身份验证。 到目前为止,这一切都很好。ADAL JS将用户带到Azure登录页面,并且在用户通过身份
-
我试图从DocuSign API获取用户信息后,我收到访问令牌(response_type=令牌)从隐式授予oAuth2调用。 我的代码如下所示: 有几点...DSAccess stoken是一个变量,其中包含从Documark接收的承载访问令牌。代码执行成功,但是当它假设包含json时,响应数据看起来像html。我还尝试了,但这也不起作用。我还尝试了而不是beFore发送,但这也不起作用。 我假
-
我对以下涉及oauth2的流程有一些问题: webapp1.xyz.com是具有授权代码授予类型的注册客户端,以下是当前流程: 用户登录并使用授权码重定向到webapp1.xyz.com webapp1.xyz.com交换访问令牌的授权代码并将其存储到会话 webapp1.xyz.com服务器端需要通过传递访问令牌调用webapp2.xyz.com api webapp1.xyz.com具有SPA
-
我们已经实现了 OAuth2 授权服务器(和身份提供程序)。现在,我们要执行负载测试来衡量系统性能。 我现在遇到的具体问题是,我想对授权代码流进行负载测试。到目前为止我一直在用JMeter。但是我不知道如何为所需的redirect_uri提供一个endpoint来完成这个流程。到底有没有办法做到这一点,还是我运气不好?谷歌帮不上忙。如果JMeter做不到,有没有工具可以?
-
我一直在广泛阅读有关OAuth和OpenID Connect的内容,但此问题专门涉及OAuth2资源所有者密码授予(又名OAuth2资源所有者凭据授予,又名OAuth2密码授予) 某些资源(例如Justin Richer的《OAuth2 in Action》一书)说不要使用OAuth2资源所有者密码授予进行身份验证-请参阅书中的第6.1.3节。 以下其他好资源都说我们可以使用OAuth2资源所有者
-
本文向大家介绍VBA 隐式和显式声明,包括了VBA 隐式和显式声明的使用技巧和注意事项,需要的朋友参考一下 示例 如果代码模块不包含Option Explicit在模块顶部,则编译器将在使用它们时自动(即“隐式”)为您创建变量。它们将默认为变量类型Variant。 在上面的代码,如果Option Explicit指定,代码将中断,因为它缺少必要Dim的陈述someVariable和someOthe