Я использую своего клиента Azure в качестве службы идентификации / проверки подлинности для нескольких веб-приложений, которые используют OIDC для аутентификации клиента и получения пользовательских данных настройки в атрибуте «AdditionalClaims» в маркере доступа.
Все работает хорошо для получения значений в заявке, которые определены для приложения (например, APPID '123..789' может получить атрибуты расширения, такие как 'extension_123..789_buildingPassNo'), однако я не могу чтобы получить другое приложение, которое я определил (например, APPID «456 ... 123») для получения атрибутов, определенных для приложения «123 ... 789».
Я предполагаю, что это где-то проблема с разрешениями, так что приложению не разрешен доступ к значениям данных на объекте пользователя, которые записаны для другого идентификатора приложения, но я не смог найти параметр разрешения, который исправляет это (я пробовал читать каталог, читать / писать каталог, читать полный профиль всех пользователей и т. д., и ни один из них, похоже, не помогает)
Я мог бы просто определить одно приложение в Azure и настроить все мои приложения, чтобы указывать на это, но тогда мне пришлось бы возвращать полный набор данных, который каждый раз покрывает каждое приложение. В качестве альтернативы я мог бы написать общие значения для дублирующихся атрибутов, которые содержат одну и ту же информацию (по одному на приложение), но это грязно и некоторые потенциальные проблемы с целостностью.
Это то, что я должен уметь делать? то есть одно приложение получает атрибуты, определенные для другого приложения в маркере доступа?