如何从Microsoft Azure AD登录过程中获取用户主体名称
我正在使用@azure/msal angular登录用户。我已提供以下“同意范围”: 登录重定向过程可以工作,因为它将我重定向到“”URL,“scope”参数如下所示:如何从Microsoft Azure AD登录过程中获取用户主体名称,azure,azure-active-directory,msal,Azure,Azure Active Directory,Msal,我正在使用@azure/msal angular登录用户。我已提供以下“同意范围”: 登录重定向过程可以工作,因为它将我重定向到“”URL,“scope”参数如下所示: &scope=email%20openid%20profile 到目前为止还不错,我登录,重定向回我的站点,然后打印MSAL服务提供的“getUser()”方法(在敏感值的情况下会混淆): 此处未提供UPN值。经过研究,我发现1.0版本默认返回UPN 我发现了这个有用的问题,有很多信息,但它实际上并没有回答这个问题:
&scope=email%20openid%20profile
到目前为止还不错,我登录,重定向回我的站点,然后打印MSAL服务提供的“getUser()”方法(在敏感值的情况下会混淆):
此处未提供UPN值。经过研究,我发现1.0版本默认返回UPN
我发现了这个有用的问题,有很多信息,但它实际上并没有回答这个问题:
以下是Microsoft文档的屏幕截图()
它特别声明“profile”范围应该返回一个“upn”值。我不认为这是@azure/msal angular软件包的问题,因为正在正确生成登录URL。根据我对2.0和oauth的理解,UPN是一个选项声明,您必须在应用程序注册中在清单或令牌配置->添加可选声明中指定。如果我理解正确的话,这是概要文件范围的顶部,我认为概要文件范围允许oidc访问这些额外信息,但不一定包括在声明中 当然,我可能错了,但我不知道它在哪里声明配置文件将在令牌中返回upn值
根据我对2.0和oauth的理解,UPN是一个选项声明,您必须在应用程序注册中在清单或令牌配置->添加可选声明中指定。如果我理解正确的话,这是概要文件范围的顶部,我认为概要文件范围允许oidc访问这些额外信息,但不一定包括在声明中 当然,我可能错了,但我不知道它在哪里声明配置文件将在令牌中返回upn值
您得到的是
id令牌
,它不包括upn
声明,请参阅
upn声明将包含在访问令牌中,要获取访问令牌,您可以参考使用
使用此流获取访问令牌时,您会发现令牌是版本:“1.0”
,因为令牌的版本由资源(在您的情况下是Microsoft Graph)决定,而不是由客户端决定,请参阅原因:
测试:
https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/authorize?
client_id=xxxxx
&response_type=token
&redirect_uri=http://localhost/myapp/permissions
&scope=email openid profile
&response_mode=fragment
&state=12345
&nonce=678910
您得到的是
id令牌
,它不包括upn
声明,请参阅
upn声明将包含在访问令牌中,要获取访问令牌,您可以参考使用
使用此流获取访问令牌时,您会发现令牌是版本:“1.0”
,因为令牌的版本由资源(在您的情况下是Microsoft Graph)决定,而不是由客户端决定,请参阅原因:
测试:
https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/authorize?
client_id=xxxxx
&response_type=token
&redirect_uri=http://localhost/myapp/permissions
&scope=email openid profile
&response_mode=fragment
&state=12345
&nonce=678910
// app.module.ts
@NgModule({
declarations: [
// ...
],
imports: [
// ...
MsalModule.forRoot({
auth: {
clientId: 'Enter_the_Application_Id_Here',
}
},
{
popUp: !isIE,
consentScopes: [
'user.read',
'openid',
'profile',
],
protectedResourceMap: [
['https://graph.microsoft.com/v1.0/me', ['user.read']]
]
})
],
providers: [
{
provide: HTTP_INTERCEPTORS,
useClass: MsalInterceptor,
multi: true
}
],
bootstrap: [AppComponent]
})
export class AppModule { }
https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/authorize?
client_id=xxxxx
&response_type=token
&redirect_uri=http://localhost/myapp/permissions
&scope=email openid profile
&response_mode=fragment
&state=12345
&nonce=678910