Мы используем OAuth 2.0 для получения токенов JWT от Azure AD. В нашем приложении мы использовали значение претензии «upn» для идентификации связанного внутреннего имени пользователя.Какие претензии JWT от токенов Azure AD можно безопасно использовать для пользовательских сопоставлений?
Azure AD Token Reference документирует UPN претензии в качестве «User Principal Name», который, насколько я понимаю, является имя пользователя в формате, адр-спецификации (т.е. пользователь @ домен). Это хорошо работает для пользователей, созданных в Azure AD Tenant. Однако, к моему удивлению, утверждение upn кажется пропавшим, если аутентифицированный пользователь синхронизирован с другим AD. Такое поведение, похоже, не документировано нигде.
- Где я могу найти документацию о том, когда UPN гарантированно будет в маркере?
- Каковы надежные альтернативные утверждения, которые я могу использовать вместо этого? Предпочтительно, чтобы заявки, как утверждается, имели форму «пользователь/домен», как это соответствует нашей модели. Я рассмотрел следующее:
- UNIQUE_NAME: Я только наблюдал это равным UPN, но я не уверен, откуда приходит. Смутно, token reference говорит: Это значение не гарантированно будет уникальным в пределах арендатора и предназначено для использования только для целей показа. (курсив мой)
- электронной: Это тоже, кажется, равна UPN, но опять же, где она поступает из? На портале управления я попытался поместить другое значение в каждое связанное с электронной почтой поле, связанное с пользователем, но ни одно из них, похоже, не распространяется на это требование. Поэтому, похоже, это поле на самом деле не является адресом электронной почты.
Я хочу быть абсолютно уверен, что наше приложение будет иметь возможность обрабатывать все жетоны, выпущенные Azure AD, поэтому я не решаюсь использовать какой-либо из вышеуказанных требований, если у меня нет какой-то документации, объясняющие их фактических семантика.
Благодарим вас за ответ. Я полагаю, что нет никакой документации по семантике ** unique_name ** и ** email **, тогда? Отсутствие уникальности не обязательно является проблемой (несколько участников AD могут все же идентифицировать одного и того же пользователя в нашем приложении). –