Как получить информацию о пользователях (а также роли) на основе токена-носителя без веб-api?

Токен на предъявителя должен содержать всю необходимую информацию. Предположим, что это токен Jwt. Вы сможете его декодировать и посмотреть, какие утверждения он содержит. Взгляните на пакет nuget "System.IdentityModel.Tokens.Jwt" . Он содержит класс JwtSecurityTokenHandler, который может быть полезен при синтаксическом анализе токена.

Уровень службы не обязательно должен быть веб-API, чтобы иметь возможность использовать ADAL для получения токенов из Azure Active Directory. Я думаю, что следующие статьи Vittorio должны помочь вам понять, как взаимодействовать с AAD, чтобы иметь возможность общаться с Graph API:

• http://www.cloudidentity.com/blog/2013/01/22/group-amp-role-claims-use-the-graph-api-to-get-back-isinrole-and-authorize-in-windows-azure-ad-apps/

• http://www.cloudidentity.com/blog/2013/10/29/using-adals-acquiretokenby-authorizationcode-to-call-a-web-api-from-a-web-app/

Хорошие новости: мы недавно включили функцию ролей приложения в Azure AD, с помощью которой приложение может объявлять роли, которые могут быть назначены пользователям и группам на портале управления Azure (назначение ролей осуществляется в Azure AD). И когда пользователь входит в приложение, Azure AD включает утверждение ролей в токен-носитель (токен для службы промежуточного программного обеспечения в вашем случае).

Прочтите об этом здесь: http://blogs.technet.com/b/ad/archive/2014/12/18/azure-active-directory-now-with-group-claims-and-application-role.aspx

Подробный пост и видео о функциях ролей приложений находятся здесь: http://www.dushyantgill.com/blog/2014/12/10/roles-based-access-control-in-cloud-applications-using-azure-ad/

Надеюсь, это поможет.