В Azure B2C я имел обыкновение получать претензию "групп" в своих токенах JWT, следуя Получение Azure AD Групповая информация с JWT:
- Откройте менеджер Azure старой школы (https://manage.windowsazure.com)
- Зарегистрируйте мое приложение с помощью B2C
- Загрузите манифест B2C для приложения
- В манифесте измените запись "groupMembershipClaims" на
"groupMembershipClaims": "SecurityGroup",
- Загрузите измененный манифест B2C снова
Проблема
Это хорошо работает в прошлом (примерно месяц назад, я считаю...), но это уже не так. Подробнее см. Ниже.
Что я пробовал sofar
План A: используйте Azure Manager
Следуйте за известным рецептом выше.
К сожалению, это больше не работает. Я получаю следующую ошибку, когда этот клиент пытается аутентифицировать меня с помощью B2C:
AADB2C90068: предоставленное приложение с идентификатором '032fe196-e17d-4287-9cfd-25386d49c0d5' недействительно в отношении этой услуги. Используйте приложение, созданное через портал B2C, и повторите попытку.
ОК, справедливо - они переводят нас на новый Портал.
План B: используйте Azure Portal
Следуйте за старым старым рецептом, используя новый портал.
Но это тоже не работает - когда я добираюсь до части "скачать манифест", я не могу найти способ доступа к манифесту (и Googling говорит мне, что он, вероятно, ушел навсегда...).
План C: Mix Azure Portal и менеджер
Получив немного отчаяния, я попытался смешать планы A и B: зарегистрировать приложение с помощью нового портала, а затем изменить манифест с помощью старого Azure Manager.
Но не повезло - когда я пытаюсь загрузить манифест, он терпит неудачу с сообщением
ПараметрValidationException = указаны недопустимые параметры; BadRequestException = Обновления конвергентных приложений в этой версии недопустимы.
План Z: используйте API-интерфейс Graph для получения данных о членстве в группе
Просто отбросьте заявку "group" - вместо этого, всякий раз, когда мне нужна информация о группе, просто запросите сервер B2C с помощью Graph API.
Я действительно, действительно не хочу этого делать - это разрушит самодостаточность токена доступа и сделает систему "болтливой".
Но я включил его в качестве плана Z здесь, просто чтобы сказать: да, я знаю, что существует опция, нет, я ее не пробовал - и я бы предпочел не делать этого.
Вопрос:
Как мне получить претензию "group" в моем токене JWT в эти дни?