나는 나머지 웹 API를 만들고 베어러 토큰으로 보안 싶습니다. 괜찮아. 하지만 도 하늘색 활성 디렉토리의 사용자 프로필과 관련하여 추가 청구액 (AAD의 officenumber)을 추가하려고합니다. 먼저 나는 ADFS를 통해 추가 청구권을 추가하라고 보안 팀원에게 요청했습니다. 그러나 그는 안된다고 말했다. 그는 내가 푸른 그래프 API를 필요한 주장에 부르기를 원한다. 하지만 API에서 어떻게 할 수 있습니까? "로그인"방법이 없습니다. 신원 정보가있는 추가 데이터베이스가 필요하지 않습니다.보안 web.api에 대한 핵심 핵심 클레임
AFAIK, 아직 Azure AD와 함께 OAuth/OIDC 플로우를 통해 클레임을 사용자 정의 할 수 없습니다.
각 요청마다 그래프 API를 호출해야합니까? 내 senario는 있습니다. 사용자는 AAD에서 SSO를 수행 한 다음 클라이언트 webapp (angular2)가 등록되어 webapi를 호출 할 수 있습니다. 그런 다음 api에서 필요한 승인과 auhorisations policys로 auhorization를 평가하고 싶습니다. 이 과정에서 더 많은 클레임 즉 인력 번호가 필요합니다.
아니요. 사용자 로그인 후에 클레임을 생성 한 다음 새 정보를 결합하여 새 JWT 토큰을 생성 할 수 있습니다. 그런 다음 백엔드는 SPA에서 생성하는 사용자 정의 정보가 포함 된 토큰의 유효성을 검사하면됩니다.
감사합니다. 귀하의 링크를 살펴 보았지만 그래프 API를 호출하여 AAD로부터 더 많은 클레임을 얻을 필요가 있음을 의미합니다. 각 요청에 대해 그래프 api를 호출해야합니까? 내 senario는 있습니다. 사용자는 AAD에서 SSO를 수행 한 다음 클라이언트 webapp (angular2)가 등록되어 webapi를 호출 할 수 있습니다. 그런 다음 api에서 필요한 승인과 auhorisations policys로 auhorization를 평가하고 싶습니다. 그리고이 과정에서 좀 더 많은 클레임, 즉 officenumber가 필요합니다. – joakimja
제가 마지막으로 확인한 시간에 OAuth 플로우의 경우 클레임을 사용자 정의 할 수 없었습니다. SAML에서만 수행 할 수 있습니다 (https://docs.microsoft.com/en-us/azure/active-directory/)./active-directory-saml-claims-customization을 개발하십시오. 하지만 상황이 바뀔 수도 있습니다. OAuth/OIDC 플로우의 경우 클레임을 사용자 정의 할 수 있는지 다른 사람이 도울 수 있는지 확인하십시오. – andresm53