我们正在配置 OAuth2 客户端凭据授权流程,使用 ADFS 作为身份提供者来授权服务到服务的交互(这正是客户端凭据的设计目的)。
我们有一个作为组成员的 Active Directory 用户帐户,并且我们正在使用这些组作为访问令牌中的授权声明的来源。
我们配置了其他流程,例如,当我们使用“密码”流程时,我们会在访问令牌内的“角色”声明中获得用户组。当我们使用客户端凭据流程时,我们不会收到任何与角色相关的声明。我们怀疑这是因为客户端 ID 与 AD 中的用户帐户之间缺乏关联。我们尝试通过设置将两者关联起来:
服务器应用程序客户端属性 -> 机密 -> AD 用户主体名称
到相关技术用户的域\用户,但这并没有改变任何东西。
这是正确的处理方式吗?我们是否忽略了什么?或者我们的做法完全错了?
答案1
客户端凭证旨在用于后端服务器/守护进程类型的应用程序,因此不存在用户上下文。
它使用应用程序的上下文。