AAD 发行的 JWT 令牌中缺少角色声明

2024-02-18

我使用 Microsoft Graph API 以编程方式注册客户端应用程序、资源服务器，并将角色从资源服务器分配给客户端应用程序。以下是遵循的步骤：

获取访问令牌 -->https://login.windows.net/ https://login.windows.net//oauth2/token/?api-version=1.6
客户端应用程序注册 -->https://graph.windows.net/ https://graph.windows.net//applications/?api-version=1.6
客户服务负责人
在清单中使用以下应用程序角色注册资源服务器：

"appRoles": [
  {
    "allowedMemberTypes": [
      "Application"
    ],
    "description": "Description of Role - Resource_API_11092017",
    "displayName": "Role_Resource_API_11092017",
    "id": "5ff0033d-fa87-4a77-9b3d-b4b201dfc32e",
    "isEnabled": true,
    "value": "Read_Only_Resource_API_11092017"
  }
],

资源服务器服务主体创建
将角色分配给客户端应用程序。

当我尝试使用客户端应用程序的凭据获取访问令牌时，我没有获得 JWT 中的任何角色，也没有获得资源服务器的任何信息。

我什至从客户端应用程序中的门户授予资源服务器角色的权限。但仍然没有运气。

任何帮助将不胜感激。如果您需要更多详细信息，请告诉我。

Thanks.

@2017年11月14日更新：

请找到 JWT 的有效负载。

{
  "aud": "https://xxxxx.onmicrosoft.com/Resource_API_11092017",
  "iss": "https://sts.windows.net/caa4bd37-xxxx-xxxx-xxxx-bba4bd0e22a6/",
  "iat": 1510679930,
  "nbf": 1510679930,
  "exp": 1510683830,
  "aio": "Y2NgYLipff1Ghn65atEd97grbjxxxx==",
  "appid": "3ec8690d-xxxx-xxxx-xxxx-739709a758cc",
  "appidacr": "1",
  "idp": "https://sts.windows.net/caa4bd37-xxxx-xxxx-xxxx-bba4bd0e22a6/",
  "tid": "caa4bd37-xxxx-xxxx-xxxx-bba4bd0e22a6",
  "ver": "1.0"
}

服务主体中不包含任何角色。但我已使用门户将 Role_Assigned_API_11092017 分配为应用程序权限。此 Role_Assigned_API_11092017 被定义为资源应用 Resource_API_11092017 中的角色。

权限是通过 Portal 从 Resource_API_11092017 授予的。

我能够在令牌中获得角色声明。如果您希望客户端应用程序具有在资源应用程序中定义的角色，则需要执行以下步骤。

创建客户端应用程序。
创建客户端应用程序的服务主体。
创建资源应用程序，其角色定义为：

"appRoles": [{
    "allowedMemberTypes": [
      "Application"
    ],

为资源应用程序创建服务主体。
使用资源应用程序中定义的角色修补客户端应用程序和资源应用程序。 - 允许客户端应用程序的“所需权限”部分中的角色
从 Azure 门户授予通过管理员帐户登录客户端应用程序的权限` 除了步骤 6 之外，一切都可以使用 Microsoft Graph API 使用应用程序的访问令牌来完成，该应用程序具有足够的权限在您的目录中注册应用程序。

如果有人有相应的 API 用于从客户端应用程序授予权限操作。请告诉我。目前我们采取手动步骤。
Thanks.

{
  "aud": "https://xxxxxxx.onmicrosoft.com/resource_app_11202017",
  "iss": "https://sts.windows.net/caa4bd37-xxxx-xxxx-xxxx-bba4bdxxxxa6/",
  "iat": 1511209576,
  "nbf": 1511209576,
  "exp": 1511213476,
  "aio": "Y2xxxxBlVE3nxxxxHtx3xSxxxxLAQ==",
  "appid": "dffe69ef-xxxx-xxxx-xxxx-3550bxxxxbd7",
  "appidacr": "1",
  "idp": "https://sts.windows.net/caa4bd37-xxxx-xxxx-xxxx-bba4bdxxxxa6/",
  "oid": "f2af0608-xxxx-xxxx-xxxx-a5acacxxxx8d",
  "roles": [
    "readonly_role_resource_app_11202017",
    "writeonly_role_resource_app_11202017"
  ],
  "sub": "f2af0608-xxxx-xxxx-xxxx-a5acacxxxx8d",
  "tid": "caa4bd37-xxxx-xxxx-xxxx-bba4bdxxxxa6",
  "uti": "VW6inKHUI0SgkuNMi6AcAA",
  "ver": "1.0"
}

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Azure

activedirectory

AAD 发行的 JWT 令牌中缺少角色声明的相关文章

如何在Azure上运行nodejs、express js项目的启动命令？

我在用Azure 开发运营对于我的应用程序我不确定如何为该项目设置启动命令如果我将它添加到创建的管道中的任务中它会给出一个错误也许是因为该过程永远不会结束实际上我可以运行 npm install 并创建工件但我需要应用程序启动
Azure Nvidia 中的 apt-update 出现公钥错误

我在 AZURE 上启动了 NVIDIA VM 并尝试使用进行更新sudo apt update但给出错误 Hit 2 http azure archive ubuntu com ubuntu focal InRelease Hit 3 h
通过 pyodbc 连接到 Azure SQL 数据库

我使用 pyodbc 连接到本地 SQL 数据库该数据库工作正常 SQLSERVERLOCAL Driver SQL Server Native Client 11 0 Server localdb v11 0 integrated se
SSMS 对象资源管理器 - 连接到 Azure DB 时选择丢失的前 N 行

我刚刚将 SSMS 升级到 2008 R2 我缺少从表中选择前 1000 行的选项如下所示我的看起来像这样我知道如何更改显示的行数但根本不存在这些选项几年前我看到有人为此提交了一个错误但没有解决方法我不知道该怎么办有任何想法
处理 DocumentDB 中每秒请求单位 (RU/s) 的峰值

使用 DocumentDB 最困难的事情之一是计算出每天以及在使用高峰期间运行应用程序所需的每秒请求单位数 RU s 当你犯这个错误时 DocumentDB客户端将抛出异常这是一个糟糕的使用模型如果我的应用程序在一天中的特定时间会使用更
将组成员身份从 AD 中的一个用户复制到另一用户

我正在尝试构建一个脚本它将组成员身份从 AD 中的一个用户复制到另一个用户我正在尝试使用 powershell 来自动执行此任务然而我在为用户创建支票时陷入困境换句话说当我将组成员身份从一个用户复制到另一个用户时我希望能够在添
AzureWebjobSDK 中的 StorageConnectionString 是否需要访问整个存储帐户？

我尝试使用 Azure WebJobs SDK 在消息发布到队列时触发函数当使用存储帐户密钥将 StorageConnectionString 设置为连接字符串时这可以正常工作我想使用共享访问令牌 SAS 它可以访问 StorageC
在azure应用程序服务中使用docker-compose

我的平均堆栈代码在 docker compose 配置中工作如果我跑docker compose up在我的电脑上然后我可以成功登录我的应用程序localhost如果转到应用程序服务并单击 docker compose 预览选项并上传我
Microsoft 认知服务 - 计算机视觉：订阅密钥无效

我正在尝试使用计算机视觉API https azure microsoft com en us services cognitive services computer vision 来自微软的认知服务但是我的钥匙似乎不起作用我使用该
Azure 应用服务 VS WebJob

我对单独使用应用程序服务和将应用程序服务与网络作业结合使用之间的差异感到困惑我有一个计算密集型任务 2 20 分钟必须手动触发用户不时要求它现在一切都发生在一个应用程序服务中我正在考虑将这个繁重的过程提取到另一个应用程序服务中的网
如何在 Microsoft Azure 中提取 Blob 存储中的 Blob 的上次修改日期

我对 MS Azure 的世界还很陌生我正在尝试使用 Python 获取保存在我的 blob 存储中的一堆文件块 blob 的文件名和最后修改日期这是我正在使用的代码 import datetime from azure storag
如何使用 powershell Az 模块为 Azure AD 应用程序提供所需权限的访问权限

我正在尝试重写 powershell 脚本来创建 Azure AD 应用程序并为其分配权限该脚本使用 AzureAD 模块我想使用新的 Az 模块这样我就可以在 Linux MacOS 上运行它创建新应用程序很容易 New AzAD
如何在Azure数据工厂中传递不记名令牌API

我有一个 API 它具有授权和不记名令牌我在邮递员中进行了测试它正在工作但是当我在 ADF 中使用 Web 活动时它不起作用我在 URL 部分传递 url 创建新标头输入授权并指定值 Bearer token 出现以下错误 E
从所有通讯组中删除所有前雇员

因此今天我被分配的任务是从所有 DL 中删除域中的所有前员工他们在 AD 中拥有自己的文件夹有没有什么方法可以快速做到这一点或者至少比单独检查每个并转到 gt 的成员删除所有更快 Thanks 编辑以添加更多信息有 822 个用户
Azure 耐用功能错误“当前没有注册任何活动功能！”

完整消息 Function Function1 Orchestrator failed with an error Reason System ArgumentException The function Function1 GetData
具有 Azure Active Directory 身份验证的 Jenkins：REST API 访问不适用于不记名令牌

我需要使用 python 代码访问 Jenkins REST API 需要一些有关正确方法的指导我在 apache tomcat 中托管了 jenkins v2 176 1 并启用了 SSL 我已根据以下内容配置了 Azure AD 身份
Azure 应用服务 API 应用程序的访问安全性

我们有一个基于 2 层的系统即后端层和前端层现在两者都是通过 WebAPI 进行通信的 Azure 网站我不想将后端 WebAPI 移至 API 应用程序问题是是否可以以这种方式配置 API 应用程序的安全性那就是only可从配
您可以在一个 Windows Azure 实例上部署多个 Web 应用程序吗？

是否可以在一个 windows azure 小型计算实例中运行一堆 Web 应用程序我正在考虑使用 Azure 作为放置一堆处于开发和非生产状态的项目 Web 应用程序的地方有些实际上已经被封存了但我想在某个地方有一个活跃的实例我
.NET Core Azure WebJobs 不从 Azure 应用程序设置读取

I have an app service running with it s respective ConnectionString from Azure Portal The ConnectionString is point to A
如果 node_modules 目录存在，Azure 模拟器无法启动 Web 角色

我想我只是偶然发现了一个非常奇怪的问题我有一个相当大的解决方案包括一个具有 3 个角色两个工作角色和一个 Web 角色的 Azure 项目 Web角色基于asp net mvc和web api 昨天尝试 gulp 用于编译和捆绑较少的

随机推荐

重新填充下拉列表选项，如何清除选项列表然后重新填充？

重新填充下拉列表选项如何清除选项列表然后重新填充当事件触发时我需要清除下拉列表 users 的当前内容然后通过ajax 重新填充它我的 ajax 调用返回以下选项的 HTML
禁用 JavaScript 时如何隐藏部分 HTML？

我正在尝试适应没有 JavaScript 的用户顺便问一下现在的努力值得吗在一个 HTML 文件中如果脚本是我希望执行其中的一部分on 以及另一部分如果脚本关闭 The
Laravel 的同一页面上有 2 个表单？

我正在尝试用我的 PHP 代码解决一页上有两个表单的问题但事实证明它比我预期的更棘手而且表现得不像我想象的那样正确对于第一个表单登录我使用此 if 语句来确定消息是否用于登录 if Session has message Se
在 Visual Studio 中使用自动代码完成时，是否可以修改 IntelliSense 输入的代码？

我想修改当我按下时 Visual Studio Intellisense 输入的自动填充代码tab or tab tab 我已经尝试在在线论坛和 Microsoft 文档中进行搜索但尚未找到我想要实现的目标的解决方案例如当我输入 Me
连续的日期

希望这不是另一个问题的欺骗但我在其他地方看不到它这也是一个简化版本我问的另一个问题 https stackoverflow com questions 3787640 calculating consecutive values wit
Haskell：新类型的函子实例

对于水平集这是一个简单的函子 data Box a Box a deriving Show instance Functor Box where fmap f Box x Box f x 这使我们能够在盒子内进行操作 gt fmap
RPM 规范通过添加前缀可重新定位，但在安装时我看不到已安装的文件

Summary A small lighttpd Name lighttpd Version 1 4 28 Release 1000 License LGPL Group Applications Webserver URL http ww
依赖属性收到xaml更改时的回调

当我设置的值IsClosed在运行时 OnIsClosedChanged 称为精然而设计者设置属性的值但不调用OnIsClosedChanged public static DependencyProperty IsClosedProp
-fPIC 仅适用于共享库吗？

I know fPIC对于共享库是必要的并且知道为什么不过我对这个问题并不清楚 Should fPIC在构建可执行文件或静态库期间永远不会使用 Should fPIC在构建可执行文件或静态库期间永远不会使用从不是一个很强烈的词上面的
单击文本边缘的“清除按钮”时如何刷新过滤器搜索？

我的列表有过滤器 ul 这是我的 htmlinput我的过滤器在那里 h1 Image Gallery h1 div class searchbox div ul
R：在 ggplot 中为yearqtr（动物园）设置scale_x_yearqtr的限制

我正在使用类似于下面摘录的数据集 head nomis lng agg quarter decile avg val 1 2004 Q4 1 5 680000 2 2005 Q1 1 5 745763 3 2005 Q2 1 5 50334
sys_open 是如何工作的？

我编写了一个简单的字符设备驱动程序 mydev 其中包含打开文件操作在用户空间应用程序中我打开这个驱动程序节点使用 open dev mydev O RDONLY open 系统调用内部调用sys open 我只想知道 sys o
使用 Elmah 代替 try/catch 可以吗？

我一直在使用Elmah http code google com p elmah 对于 MVC 应用程序我的问题是使用 Elmah 时不写 try catch 语句是一个坏习惯吗 ELMAH 用于记录未处理的异常如果您可以处理异常我
如何读取 HttpWebRequest.GetResponse 抛出 WebException 时返回的自定义错误消息？

我有一个带有简单测试方法的 NET Core API public async Task
在 MacOSX 上，使用 g++，std::vector .size() 线程安全吗？

我有一个在两个线程中共享的 std vector 他们都调用 vec gt size 这可能是竞争条件的来源吗我希望不会因为 vec gt size 是 const Thanks 如果您打电话ONLY vec gt size 你很安全
如何获取iOS 8.3表情符号键盘高度？

我可以处理两个事件键盘显示时和键盘隐藏时在 iOS 8 2 及更早版本中一切正常但是当你改变键盘语言时如何处理事件呢当您将英文键盘更改为表情符号键盘时表情符号键盘在ios 8 3中的高度更大并且隐藏了内容 Or maybe y
如何在变换矩阵后获得视图的正确边界

我有一个使用转换的自定义视图到目前为止一切顺利功能就像setRotationY setScaleX setTranslationY 甚至getMatrix 按预期工作我可以操纵我的视图并且它显示得很好我遇到的问题是此后许多函数的行
React-Router中提到的滚动行为有什么用？

我试图升级到最新的反应路由器在阅读升级指南时我发现了这个 Using Scroll Behavior 和下面的代码片段 import Router useRouterHistory from react router import cre
在 Visual Studio 扩展中更改“颜色主题”

我正在用 C 编写一个 Visual Studio 扩展我希望它能根据一天中的时间更改颜色主题日落后将应用深色主题日出时将根据用户偏好应用蓝色浅色主题我可以使用更改颜色主题WriteableSettingsStore暴露于一个Sh
AAD 发行的 JWT 令牌中缺少角色声明

我使用 Microsoft Graph API 以编程方式注册客户端应用程序资源服务器并将角色从资源服务器分配给客户端应用程序以下是遵循的步骤获取访问令牌 gt https login windows net https login

AAD 发行的 JWT 令牌中缺少角色声明

AAD 发行的 JWT 令牌中缺少角色声明 的相关文章

随机推荐

热门标签

AAD 发行的 JWT 令牌中缺少角色声明的相关文章