Я пытаюсь следовать документации здесь , чтобы добавить расширение пользователя в набор утверждений моего токена id, но я не могу отобразить его в полученном токене.
Я создал расширение пользователя в предварительной AD, и его значение синхронизировалось с моим экземпляром Azure AD.Я проверил, что расширение было передано в Azure AD, просмотрев его в powershell:
PS U:\> Get-AzureADUserExtension -ObjectId $UserId
Key Value
--- -----
odata.metadata https://graph.windows.net/84d1aa3c-****-****-****-*****6b7b6ec/...
odata.type Microsoft.DirectoryServices.User
createdDateTime 1/31/2019 5:55:52 PM
employeeId
onPremisesDistinguishedName CN=Paul LeBlond,OU=Users,OU=@AR,DC=*********,DC=co
userIdentities []
extension_01e6ed59b00**********6ee8e2a025f_pOCCustom customize!
Согласно этой части документации , мне нужно полностью квалифицировать расширение с помощью extension_<appid>_<extensionName> и похоже, что моя синхронизация уже сделала это, хотя показанный выше идентификатор не соответствует моему appid.Я попытался использовать указанное выше значение, а также использовать appid (с и без черточек) для средней части, и я попытался просто использовать имя расширения (pOCCustom).Никто не возвращает претензию "extn.POCCustom", чего я и ожидаю.
Вот как выглядят важные части манифеста приложения:
"id": "0d18****-****-****-****-****b28f27f",
"acceptMappedClaims": null,
"accessTokenAcceptedVersion": null,
"allowPublicClient": null,
"appId": "b4d8****-****-****-****-****234311bd",
...
"optionalClaims": {
"idToken": [
{
"name": "extension_01e6ed59b00**********6ee8e2a025f_pOCCustom",
"source": "user",
"essential": false,
"additionalProperties": []
},
{
"name": "family_name",
"source": null,
"essential": false,
"additionalProperties": []
},
{
"name": "given_name",
"source": null,
"essential": false,
"additionalProperties": []
}
],
"accessToken": [],
"saml2Token": []
},
Я добавил имя семействаи имя_связи, чтобы убедиться, что я хотя бы близко, и они были включены в мой токен идентификатора, как и ожидалось.
А вот как выглядит мой idToken при входе в систему:
{
"displayableId": "paul@********",
"name": "Paul LeBlond",
"identityProvider": "https://login.microsoftonline.com/***/v2.0",
"userIdentifier": "N2******iNmVj",
"idToken": {
"aud": "b4d8****-****-****-****-****234311bd",
"iss": "https://login.microsoftonline.com/84d1aa3c-****-****-****-*****6b7b6ec/v2.0",
"iat": 1550157932,
"nbf": 1550157932,
"exp": 1550161832,
"aio": "ATQ******C9bTV+",
"family_name": "LeBlond",
"given_name": "Paul",
"name": "Paul LeBlond",
"nonce": "a0c13***06",
"oid": "7ad8**4d75d7e0",
"preferred_username": "paul@*****",
"roles": [
"CanAccess"
],
"sub": "Ko1***K6RMiTrLQAJUI",
"tid": "84d1aa***e16b7b6ec",
"uti": "gZ8q****psxrtMAQ",
"ver": "2.0"
}
}
Таким образом, я получаю свои претензии по фамилиям и именам, но не по заявке POCCustom.Что мне нужно сделать, чтобы это расширение пользователя отображалось в моем токене id?