根据我的研究,Azure Active Directory的Azure AD v2端点尚不支持其令牌中的组声明。有关详细信息,请参阅 文献 。如果要获取一个用户所属的所有组,则需要从Microsoft Graph API查询组。您可以在此处找到API文档: https://docs.microsoft.com/en-us/graph/api/user-list-memberof?view=graph-rest-1.0 。
如果您使用该应用访问自己的API,为了在access_token中获取组声明,您需要配置 groupMembershipClaims 您可以在API清单中找到所需的值,然后您可以在access_token中获取组声明信息。
groupMembershipClaims
但是如果访问资源是MS图形API或Azure AD图形API,则无法为它们配置,您只能使用openid connect来获取id_token,然后您可以在id_token中看到组声明。在您的流程中,您可以添加 openid 在范围内,您可以在id_token中找到组信息。
openid
我在邮递员中尝试了oauth2代码流程:
它返回access_token和id_token。要解析id_token,我会得到组信息: