Есть ли способ получить группу, членом которой является пользователь, чтобы мы могли обработать аутентификацию или даже выдать исключение, чтобы токен не создавался.
Причина, по которой нам нужны группы, заключается в том, что мы не можем создавать OU в Azure AD, тогда как раньше мы могли это делать в LDAP. Мы получили отличительное имя и, следовательно, получили очень обширную информацию об этом пользователе.
Наконец, мы видим, что вы могли создать OU локально, но читали, что Graph API не распознает его или не может получить его.
Мы пытаемся реализовать логику на этапе SecurityTokenValidated
процесса аутентификации, и мы прерываем процесс всякий раз, когда пытаемся использовать:
string UPN = context.AuthenticationTicket.Identity.FindFirst(ClaimTypes.Name).Value
Это потому, что мы используем MSAL?
memberOf
для вошедшего в систему пользователя не требуются права администратора (только согласие администратора на приложение). Я дам полный ответ через несколько минут. - person Philippe Signoret   schedule 15.03.2017