使用 AzureAD 进行身份验证时,我无法获取角色声明。
使用quay.io/oauth2-proxy
【问题讨论】:
标签: azure-active-directory kubernetes-helm quay.io oauth2-proxy
• 请检查您使用的镜像 quay.io/oauth2-proxy 的版本是否为 v6.1.1,因为此镜像版本存在一个关于 oidc 组声明的已知问题,这些声明不在列表中。此外,目前,如果您将服务主体添加到组,然后将应用角色分配给该组,Azure AD 不会将角色声明添加到它发出的令牌中。
• 因此,还请检查具有多个映射属性的应用程序清单,包括应用程序角色以及在应用程序注册(旧版)与普通应用程序注册中输入的任何不受支持的属性,因为一些关键属性似乎在新应用程序中已修改注册平台如app角色,为collection类型,groupmembershipclaims属性为string类型。
• 此外,如果您为声明分配定义了任何自定义角色,请在应用清单中检查用户声明的自定义角色,如下所示:-
{
"roles": ["{custom_role}"]
}
请找到以下链接以获取更多信息:-
【讨论】: