Azure AD：如何将安全组和应用程序角色都放入访问令牌

Posted 2023-05-06

【中文标题】Azure AD：如何将安全组和应用程序角色都放入访问令牌

【英文标题】：Azure AD: How to get both security groups and application roles into access token

【发布时间】：2021-06-23 07:19:46

【问题描述】：

我面临一种情况，我的 .NET Core 应用程序 (Azure Web API) 将以两种方式访问​​：

client_credentials 流

委派权限（用户）流程

我正在使用 Microsoft Identity Web 在中间件级别通过 AD 授权和验证请求。然后我想在我的控制器方法中进行额外的授权以检查以下内容：

如果是应用程序调用（客户端凭据），请检查提供的 access_token 是否包含与 应用注册中定义的应用程序角色匹配的特定角色声明 -> 应用角色。 如果是登录用户调用，请检查提供的 access_token 是否包含在 Azure AD 中分配给该用户的特定 AD 组（安全组）。

流程 #1 有效，但如果我通过单击 令牌配置 -> 添加组声明 -> 安全组 -> 将组作为访问令牌中的角色声明发出组 来启用流程 #2，则应用程序角色在访问令牌内的客户端凭据流中不再可用（如下面的屏幕截图所示），可能是因为它用安全组（应用程序不存在）覆盖了角色声明。

这样做的正确方法是什么，或者以不同的方式达到相同的情况？ 要求是区分应用程序 A 可以调用的控制器方法访问，例如一个只读端点 1，但不能调用写端点 2，而应用程序 B 能够调用写端点 2。对于基于 AD 组的用户也应该进行相同的区分。

【参考方案1】：

您可以在您的令牌中include a groups claim。您只需要修改应用清单中的“groupMembershipClaims”字段：

"groupMembershipClaims": "SecurityGroup"

然后令牌将包含使用所属组的 ID，如下所示：

  "groups": ["group_id"]

此方法不会覆盖roles 声明。因此，对于委派权限（用户）流程，您现在需要检查 groups 声明。

【讨论】：

以这种方式配置它，我不再看到角色声明中的应用程序角色。它将按照您的建议在组中显示安全组，但不显示应用程序角色。有什么想法吗？

@PetteriPertola 根据我的测试，委托的用户访问令牌包括groups 声明，应用程序访问令牌包括roles 声明中的应用程序角色。确保检查应用程序访问令牌中的应用程序角色，而不是委托的用户访问令牌。如果问题仍然存在，请分享您如何定义应用角色以及如何获取应用访问令牌。

@PetteriPertola 你检查我的评论了吗？有更新吗？

对不起 - 复活节假期。我能够找到一种替代方法，即将应用程序作为服务主体分配到 AD 中的安全组中，在这种情况下，我在角色声明中获得了 AD 组对象 ID。这样，无论您是用户还是应用程序，我们都只需要一种授权方式，因此该解决方案最终对我们有用。

@PetteriPertola 好主意！您可以发布您的解决方案作为帮助他人的答案。