У меня странное поведение на нашем AAD. После того, как пользователь вошел в систему успешно, мы получаем неавторизованный доступ для некоторых пользователей к нашим вызовам API. Оказывается, претензия в JWT отсутствует. Некоторые пользователи получают утверждение "группы" (массив всех идентификаторов групп, к которым он принадлежит), а некоторые получают утверждение "hasgroups" (логическое значение, если у пользователя есть группы, без идентификаторов). Поскольку наше приложение API проверяет это утверждение "группы" для авторизации, пользователи, у которых нет этого утверждения "группы", получают сообщение 403.
Тем не менее, в манифесте регистрации приложения я установил для groupMembershipClaims значение «null» на «All» или «SecurityGroup», что должно помочь в обоих случаях. Также установите для параметра oauth2AllowImplicitFlow значение true, поскольку мы работаем с приложением Angular, которое использует OAuth2. Кроме того, я сравнил почти все настройки пользователей, и, за исключением некоторых дополнительных групп, пользователи идентичны.У затронутых пользователей не так много групп, у некоторых даже около 5 групп максимум.
Я что-то упускаю из виду или что вызывает такую разницу в претензиях? Как я могу решить эту проблему, чтобы все пользователи получали заявку на «группы»?