Azure Active Directory组申请申请

Question

我们正在为不同的客户及其员工使用Active Directory组。为经过身份验证的用户配置组accessToken声明非常简单。现在，当应用程序不是代表用户，而是代表自己(client_credentials流)，并且应用程序是AD组的成员时，是否可以为应用程序的成员资格配置accessToken声明？如果是这样的话，是怎么做的？

我试图在Azure/Active Directory/Token配置中配置它，但它只给出了经过身份验证的用户组，而没有给出应用程序本身的用户组。

谢谢。

Answer 1

我觉得你的描述有问题。你在问题中说过：和应用程序是AD 的成员。据我所知，一个组的成员只能是用户、组织联系人、服务领导或其他组，没有应用程序。

我想您想说的是，您为应用程序指定了用户或组(如果我的理解是错误的，请纠正我)，如下所示：

​

​

据我所知，没有针对应用程序令牌的组索赔(正如您在问题中所说的那样，用户令牌有一个组声明)，因为应用程序不是组成员。如果您想获得分配给应用程序的组，MS图形api是一个很好的选择：

https://graph.microsoft.com/beta/servicePrincipals/{id}/appRoleAssignedTo

您需要将{id}替换为Object ID

​

​

​

​