我在 AD 身份验证方面遇到了一些困难,我使用 Angular MSAL 库登录用户并将持有者令牌发送到后端。
后端完美处理并存储用户声明。但是发生的情况是用户在 AD 中所属的组不在此声明中。这是因为 AD 中的组太多,Azure 只返回“hasgroups : true”。这很好,我只是使用 Graph API 检索用户组。
现在我才想知道,如何将检索到的组添加到现有用户声明中?我的最终目标是我可以使用以下代码将某些组授权给控制器:
[Authorize(Roles = "EmployeeOnly")]
【问题讨论】:
标签: .net authentication azure-active-directory azure-ad-graph-api
要将Claim 添加到ClaimsIdentity,您可以使用ClaimsIdentity.AddClaim(Claim) Method,使用ClaimType 'Role'
代码可能如下所示:
var claimsIdentity = context.Authentication.User.Identity as ClaimsIdentity;
if (claimsIdentity == null || !claimsIdentity.IsAuthenticated)
{
return;
}
claimsIdentity.AddClaim(new Claim(ClaimTypes.Role, "YourRoleHere"));
编辑:
当然,这只是一次性操作,因为您没有在前端更新身份。所以下一次调用不会有更新的身份。而且我希望您不想为传入的每个请求调用 Graph API。对吗?
我能想到的几个选项:
为了能够更好地帮助您,请对此进行更多调查,尝试一些方法,如果无法正常工作,请提出新问题。
【讨论】: