我们正在尝试将Azure AD B2C集成到SPA中.我们希望在票证中包含角色,以便我们可以使用AuthorizeRoles& isiRole在api中.我们已经看了几个例子.
第一个示例不是SPA,也不包括角色.包括会员资格在内的会议被接受.根据以下链接,不支持使用Azure AD B2C的故障单中的组.
Azure AD B2C Group Membership Feature Feedback
上面建议的解决方法似乎是使用下面的“OnAuthorizationCodeReceived”事件将您自己的Role声明注入/添加到故障单.
我们遇到的问题是我们正在使用SPA,所以我们需要遵循示例2,我们还需要能够将自己的manged角色添加到票证中,这不是受支持的功能,但微软已经表示有一个解决方法,所示.但是,解决方法不适用于MSAL.js,如示例2所示.
我们如何使用MSAL.js库将我们自己的托管角色包含到故障单中,以便我们可以将Azure AD B2C集成到我们的SPA中,使我们能够使用AuthorizeRoles& isiRole在api中?
最佳答案 首先,您提到您正在使用MSAL.js库,这意味着v2端点.目前(截至2014年5月16日),v2端点对角色和组有限制,请参阅
v2 limitations,其中指出:
The v2.0 endpoint does not support issuing role or group claims in ID tokens.
ID令牌用于v2端点的隐式流程,请参见此处Azure AD v2 Spa Guided Setup,并在“更多信息”下阅读大约一半
底线是绝对确定v2端点(和MSAL库)可以支持您的要求.
对于我自己,我们最终选择了v1端点和ADAL库,部分原因是因为这样的限制.但是这里有一些在代码中使用角色的例子.请注意,这些回购是相当新的,我仍在构建文档.有两个repos,一个是独立的angularjs ui项目,另一个是一组API(它们是我在codecamp演示中使用的演示).请阅读以下有关AAD中的角色的信息.只有UI示例使用ADAL库(注意:ADAL和MSAL库是关于管理客户端中的令牌而不是用于锁定后端的库).
API:https://github.com/BgRva/aad_adal_api_dn_std/tree/Step_C
UI:https://github.com/BgRva/aad_adal_ui_ng_js/tree/Step_C
关于AAD角色的一些注意事项:
>角色是特定于应用程序的,因此在上面的示例中,相同
必须为将要使用的所有应用程序注册角色
他们(这也包括角色Id)
>您可以在AAD中为用户提供多个角色,您只需要将多个角色添加到该应用程序并选择不同的角色.
>手动将用户添加到角色将无法扩展,并且需要在门户中进行大量点击.团队管理更容易,但只有AAD Premium Level 2才能获得此优惠
>据说有一种方法可以以编程方式添加角色,但我还没有找到任何关于它的信息
干杯
