Как получить основное имя пользователя из процесса входа в Microsoft Azure AD

Question

Я использую @ azure / msal- angular для входа в систему. Я предоставил следующие области «согласования»:

['openid', 'email', 'profile']

Процесс перенаправления входа в систему работает, поскольку он перенаправляет меня на URL-адрес «https://login.microsoftonline.com», а параметр «scope» выглядит вот так:

&scope=email%20openid%20profile

Пока все хорошо, я вхожу в систему, меня перенаправляют обратно на свой сайт, затем я распечатываю метод getUser (), предоставляемый службой MSAL (скрытый в случае чувствительных значений ):

displayableId: "D...Mm"
name: "Mo....as"
identityProvider: "htt...0"
userIdentifier: "OG....5"
idToken:
aud: "ca...20"
iss: "htt....0"
iat: 1..83
nbf: 15..83
exp: 15...83
acct: 0
aio: "42dg....R/XQoA"
auth_time: 159...282
email: "DM.....com"
name: "Mo....as"
nonce: "7bc....d95d"
oid: "8e8f....fc3"
platf: "1"
preferred_username: "DMol....om"
sub: "j0KKHsU....WMEB_H3fyU"
tid: "98f7abd.....6fbd5f9"
uti: "Eu4y.....cMAAA"
ver: "2.0"

Здесь не указано значение UPN. После исследования я обнаружил, что версия 1.0 по умолчанию возвращает UPN.

Я нашел этот полезный вопрос с большим количеством информации, но на самом деле он не отвечает на вопрос:

{ ссылка }

Ниже приведен снимок экрана из документации Microsoft (https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-optional-claims)

В нем конкретно указано, что область «profile» должна возвращать значение «upn». Я не знаю, это проблема с пакетом @ azure / msal- angular, потому что URL-адрес для входа создается правильно.

Answer 1

У вас есть id token, он не включает претензию upn, см. do c.

Требование upn будет включено в токен доступа, чтобы получить токен доступа, вы можете обратиться к образцу здесь , который использует неявный поток предоставления .

// app.module.ts
@NgModule({
  declarations: [
    // ...
  ],
  imports: [
    // ...
    MsalModule.forRoot({
      auth: {
        clientId: 'Enter_the_Application_Id_Here',
      }
    },
    {
      popUp: !isIE,
      consentScopes: [
        'user.read',
        'openid',
        'profile',
      ],
      protectedResourceMap: [
        ['https://graph.microsoft.com/v1.0/me', ['user.read']]
      ]
    })
  ],
  providers: [
    {
      provide: HTTP_INTERCEPTORS,
      useClass: MsalInterceptor,
      multi: true
    }
  ],
  bootstrap: [AppComponent]
})
export class AppModule { }

Когда вы используете этот поток чтобы получить токен доступа, вы обнаружите, что это ver: "1.0", потому что версия токена определяется ресурсом (в вашем случае Microsoft Graph), а не клиентом, обратитесь к причине здесь :

---

Тест:

https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/authorize?
client_id=xxxxx
&response_type=token
&redirect_uri=http://localhost/myapp/permissions
&scope=email openid profile
&response_mode=fragment
&state=12345
&nonce=678910

Answer 2

Насколько я понимаю для 2.0 и oauth, UPN - это заявка на параметр, которую вы должны указать при регистрации приложения либо в манифесте, либо в конфигурации токена -> добавить необязательное утверждение. Это находится в верхней части области профиля, если я правильно понимаю, я думаю, что область профиля дает oid c доступ к этой дополнительной информации, но не обязательно включает ее в формулу изобретения.

Конечно, я могу ошибаться, но я не вижу, где говорится, что профиль вернет значение upn в токене?

https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-optional-claims#configuring -groups-optional-Claims