使用ADFS(2016) for openid-connect传递组成员资格

Question

我们有一个运行在Windows2016上的ADFS服务器，它应该支持OAuth2和openid-connect。我们正在尝试公开一个We应用程序，它使用openid-connect，但在声明“组”时需要组成员资格。有如何在Azure AD上实现这一点的指南，但是我们希望使用我们的本地ADFS服务器来配置这一点。到目前为止，我还没有成功。

在azure AD中，当设置为正确的值时，用户必须编辑清单文件并添加/编辑值"groupMembershipClaims“，它将在声明中发送组。

我曾尝试为映射到此声明类型的"groups“添加声明描述；http://schemas.microsoft.com/ws/2008/06/identity/claims/groups，然后在该声明中返回"Token-Groups - Unqualified Names”，这是不被接受的。我还尝试添加了多个"Send Group Membership as Claim“规则，并将默认的"group”声明作为传出声明类型。这也是不成功的。

除了作为额外的问题，有谁知道如何解密由ADFS服务器给出的响应，当我捕获来自外部ADFS服务器的响应cookie它是一个MSISAuth类型的cookie，但我无法看到它的内容。它似乎不是BASE64编码。

有谁知道如何实现这一目标吗？

Answer 1

这应该行得通。我怀疑问题在于声明没有到达应用程序。

这是一个SPA application吗？

你用的是什么堆栈- ADAL，OWIN ...？

在进行身份验证时，您应该在有效负载中看到一个访问令牌、一个ID令牌和一个刷新令牌。

你可以用jwt.io来解码它们。