Yes, we are using KeyCloak and use Azure AD for federation in behind it. It’s correctly bootstrapping the email, so it must do some kind of mapping just like the one you mention.
We have a fix. We were using the v1.0 version of the endpoint. When we switch to the v2.0, it works and we get the email just fine. Thanks for all your help @david, talking it through helps us triage the issue.
Glad to hear it!
Would you be able to describe how to tell whether you’re using v1 or v2 in the azure portal? Then we can add a note to the instructions above so it doesn’t catch anyone else!
Yep, adding /v2.0/ to the metadata document url.
https://login.microsoftonline.com/replace-with-tenant-id/v2.0/.well-known/openid-configuration
Perfect, thanks. I’ve added a note to the OP
Bonjour, je rencontre un problème très similaire à celui du sujet original (OP) ici. Je m’authentifie auprès de NHS.net, qui repose en coulisses sur Active Directory et est probablement fourni par Azure. J’utilise le plugin OIDC et je reçois l’erreur suivante :
(oidc) Échec de l'authentification ! invalid_credentials : OAuth2::Error,
(Le message d’erreur se termine par une virgule et ne contient aucune donnée supplémentaire, contrairement à l’erreur de l’OP)
J’ai essayé de modifier les paramètres de l’autorisation et de la portée du jeton pour openid email profile (ces valeurs sont prises en charge par le point de terminaison OIDC selon les données de la URL de configuration).
Je reçois toujours la même erreur dans l’interface : « Désolé, une erreur s’est produite lors de l’autorisation de votre compte. Veuillez réessayer. »
Il semble que je ne reçoive aucune donnée du JWT. Ce n’est donc pas tout à fait le même problème que celui du « champ email manquant », mais il a commencé par la même erreur. L’unique autre mention de cette erreur sur Meta qui semble pertinente se trouve ici : SSL Error during OAuth2. Il s’est avéré que cela était lié à un problème SSL (et, chose intéressante, le certificat de NHS.net présente effectivement ce problème, que j’ai signalé). Cependant, après avoir installé la solution de contournement SSL, les erreurs SSL Faraday ont disparu. Il semble toujours qu’une partie du flux OpenID Connect soit défaillante.
Avez-vous des suggestions pour les prochaines étapes de débogage ?