我有一个旧的 ASP.NET MVC 应用程序,它使用 ASP.NET 成员身份登录用户并发出登录 cookie。我的应用程序需要调用受 Entra ID 保护的 API(用户本身没有 Entra ID 帐户,也没有访问该 API 的权限)。应用服务器可以使用客户端凭据流(服务主体或 Azure 托管标识)获取 API 的令牌。
有没有办法将“参与者”声明(或任何任意名称声明)添加到为应用程序服务器颁发的访问令牌,其中包含我的会员用户的用户名?
我似乎无法使用代表流程,因为我的用户未在 EntraID 中注册,并且本身无权访问 API,因此我陷入了客户端凭据流程。
claimsTokenRequestContextvar azureCredential = new ManagedIdentityCredential();
var claimsDict = new Dictionary<string, string>
{
{ "actor", "[email protected]" }
};
var claimsJson = JsonConvert.SerializeObject(claimsDict);
var context = new TokenRequestContext(scopes: new[] { scope }, claims: claimsJson);
var accessToken = await azureCredential.GetTokenAsync(context);
return accessToken.Token; // Doesn't have "actor" claim.
我最后的解决方案是将
actorcan_specify_actor我的理解是,这个
claimsManagedIdentityCredential据我所知,这是预期的场景:
您可能需要采用最后的解决方案。