В Azure B2C я имел возможность получать утверждение «группы» в своих токенах JWT, следуя Получение информации о группе Azure AD с помощью JWT:
- Откройте старый менеджер Azure (https://manage.windowsazure.com)
- Зарегистрируйте мое приложение в B2C
- Загрузите манифест B2C для приложения
- В манифесте измените запись groupMembershipClaims на
# P2 #
- Загрузите измененный манифест B2C еще раз
Эта проблема
Это хорошо работало в прошлом (примерно месяц назад, я думаю ...), но теперь это не так. Подробнее см. Ниже ...
Что я пробовал софар
План A. Использование Azure Manager
Следуйте известному рецепту выше.
К сожалению, это больше не работает - я получаю следующую ошибку, когда этот клиент пытается аутентифицировать меня с помощью B2C:
AADB2C90068: предоставленное приложение с идентификатором '032fe196-e17d-4287-9cfd-25386d49c0d5' недействительно для этой службы. Воспользуйтесь приложением, созданным через портал B2C, и попробуйте еще раз »
Хорошо, честно - нас переводят на новый Портал.
План Б. Использование портала Azure
Следуйте старому доброму рецепту, используя новый Портал.
Но это тоже не работает - когда я дохожу до части «скачать манифест», я не могу найти никакого способа получить доступ к манифесту (и поиск в Google говорит мне, что он, вероятно, исчез навсегда ...).
План C. Смешайте портал Azure и менеджер
Немного отчаявшись, я попытался смешать планы A и B: зарегистрировать приложение с помощью нового портала, а затем изменить манифест с помощью старого Azure Manager.
Но не повезло - когда я пытаюсь загрузить манифест, он терпит неудачу с сообщением
ParameterValidationException = Предоставлены недопустимые параметры; BadRequestException = Обновления конвергентных приложений в этой версии запрещены.
План Z: использование Graph API для получения данных о членстве в группах
Просто откажитесь от утверждения о «группе» - вместо этого, когда мне понадобится информация о группе, просто запросите сервер B2C с помощью Graph API.
Я действительно, очень не хочу этого делать - это разрушило бы автономность токена доступа и сделало бы систему очень «болтливой».
Но я включил его как план Z здесь, просто чтобы сказать: да, я знаю, что вариант существует, нет, я не пробовал его - и я бы предпочел не делать этого.
Вопрос:
Как мне получить "групповое" заявление в моем токене JWT в наши дни?