問題タブ [msal.js]

node.js 用の Microsoft MSAL クイックスタートの修正版 (オリジナルはこちら) を使用して、暗黙的なフローを使用して Azure Storage API のアクセス トークンを正常に受け取りました。トークンにはグループ クレームが含まれていましたが、クレーム内の GUID の 1 つがテナント内のどのグループとも関連付けられていないようです。すべてのグループからユーザーを削除した後、クレームにはまだその GUID が含まれています (そして、予想どおり、他のユーザーはもう含まれていません)。

その GUID を Google で検索してもヒットしませんでした。そのため、何らかのよく知られた GUID ではないと推測しています。

グループ要求でこの "不明な" GUID を取得するのはなぜですか?

関連する AAD テナントは非常に小さなテナントであり、私が AAD と認証を学習するためにのみ使用しています。そのため、単一のグループのみが含まれます。関連するユーザーは、この単一のグループのメンバーではありません。

Azure Portal のユーザー ページを見てみましたが、ユーザーが「どのグループのメンバーでもない」ことを実際に示しています。Azure CLI は、ユーザーがどのグループのメンバーでもないことも示しています。

このテナントのグループの完全なリストには、単一のグループのみが含まれており、ご覧のとおり、その ObjectID は、クレームで取得した GUID と一致しません。

また、別のアプリケーション登録を作成し、ダミー API を公開しました。そのダミー API をスコープとして使用すると、再びアクセス トークンを正常に受信できますが、これには単一のグループ クレームと同じ不明な GUID が含まれています。

うまくいけば関連するコードのビットは次のとおりです。

前述のとおり、まず Azure Storage のアクセス トークンを取得しました。

...しかし、ダミーの API を使用してもまったく同じ結果が得られます。

このビットはユーザーをログインさせます:

ここでトークンを取得します。callMSGraphトークンの範囲を考えると、ここでは機能しないことは承知しています。ブラウザー コンソール ログからトークンを取得し、jwt.ms を使用してデコードします。