1

我有一个客户端 .Net 应用程序,它使用 ADAL 访问在 azure 上运行的 Web API 应用程序。

服务器具有验证用户是否属于特定安全组的自定义代码。

问题是我的用户属于太多组,这导致 AAD 根本不包含令牌中的组列表。

因此,我的自定义代码再次调用 AAD Graph API 以验证用户是否属于该组 - 除了客户端为获取身份验证令牌所做的那个之外。

有没有办法告诉 AAD 在组声明中只返回这个特定组(以便 AAD 将其包含在令牌中)?

任何其他会阻止我进行第二次调用的想法(除了我目前没有的缓存)将不胜感激。

4

1 回答 1

6

截至今天,AAD 无法发送用户组的子集。一个可能的技巧是为您的应用程序定义一个角色,然后将该组分配给该角色。在这种情况下,只有当用户属于该组时,您才会在令牌中看到角色。高温高压

于 2015-01-14T16:51:18.913 回答