Azure AD 目錄擴展聲稱丟失

Question

我已經向我的訪問令牌添加了大約 18 個擴展聲明。 根據申請 state，您可能會從此列表中獲得不同的聲明。 我確信這些聲明已分配了一些值。 但出於某種原因，我沒有收到所有這些作為我的 JWT 訪問令牌的一部分。 我可以使用圖形 API 獲取這些值。

來自 jwt 令牌的擴展聲明示例：

"extn.***_**_CreatedDate": [
"30/09/2022 12:21:01 PM +00:00"]

應用程序清單令牌配置示例：

    "optionalClaims": {
    "idToken": [
        {
            "name": "extension_someguid_***_***_CreatedDate",
            "source": "user",
            "essential": false,
            "additionalProperties": []
         }]
        }

添加到 AAD 訪問令牌的 clams/extension claims 計數是否有任何限制？

Answer 1

如果應用程序以在不同應用程序上注冊的擴展屬性形式發送帶有數據的聲明，則必須使用聲明映射策略將擴展屬性映射到聲明的 map。

New-AzureADPolicy -Definition @('{
"ClaimsMappingPolicy":
{"Version":1,
"IncludeBasicClaimSet":"true", 
"ClaimsSchema": [
{
"Source":"user",
"ID":"employeeid",
"SamlClaimType":"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/employeeid","JwtClaimType":"employeeid"
},
{
"Source":"company",
"ID":"tenantcountry",
"SamlClaimType":"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/country",
"JwtClaimType":"country"}]}}')
 -DisplayName "ExtraClaimsExample" 
-Type "ClaimsMappingPolicy"

• accesstokenAcceptedVersion必須設置為支持的值 1、2 或 null，具體取決於從令牌中獲取的頒發者授權。
• 對於單租戶應用程序，“ acceptMappedClaims ” 必須設置為 true。

還要確保在清單中的 accessToken 下提供聲明。

筆記：

1. 如果想在訪問令牌中擁有聲明，那么您可能需要修改資源應用程序的清單。 IE; 如果您有一個 web 應用程序調用 Web API B 並且您想要 access_token 中的聲明，那么您需要修改 web api B 的清單。
2. 只有用戶對象的擴展屬性可用於向應用程序發出聲明。

向訪問令牌添加聲明時，發出的聲明是針對 web API 而不是應用程序請求的。 因此，您將只能看到發出的聲明是針對為應用程序 webApi 請求的訪問令牌的。

參考： 在聲明中使用 Azure AD 目錄擴展屬性 - Microsoft Entra | 微軟學習