OpenID Connect AAD олицетворение пользователя

Question

Я реализовал аутентификацию на основе найденного примера OpenID Connect здесь . В среде разработки я хотел бы добавить олицетворение пользователя, которое также работает от имени аутентификации. Я хочу, чтобы нижестоящие API, такие как Graph API, или другие службы, такие как Azure Analysis Services, тоже использовали олицетворенного пользователя.

Где я могу прочитать о том, как это реализовать? Это вообще возможно?

Answer 1

Где я могу прочитать о том, как это реализовать?Это вообще возможно?

Это можно реализовать с помощью потока OAuth 2.0 On-Behalf-Of (OBO).

Подробная документация от Microsoft доступна здесь:

Служба для обслуживания вызовов с использованием делегированного идентификатора пользователя в потоке "от имени"

Поток OAuth 2.0 On-Behalf-Of (OBO) служит сценарию использования, когда приложение вызывает сервис / веб-API, который, в свою очередь, должен вызвать другой сервис / веб-API.Идея состоит в том, чтобы распространять делегированные идентификационные данные пользователя и разрешения через цепочку запросов.Чтобы служба среднего уровня выполняла аутентифицированные запросы к нисходящему сервису, ей необходимо защитить токен доступа от Azure Active Directory (Azure AD) от имени пользователя.

Ваш текущий пример, которыйВы уже реализовали, позаботились о зеленой части на картинке выше.Следуя инструкциям в общей ссылке для OBO, вам необходимо реализовать оставшуюся часть.«Веб-API B» будет нижестоящим API, таким как Graph API или другие, которые вы будете вызывать с использованием делегированного идентификатора пользователя из первого веб-API (т. Е. Веб-API A в уже реализованном примере).