Получить токен для любого пользователя AAD

Question

Требование, предъявляемое ко мне для реализации олицетворения для разработчиков, конечно, только для среды разработки.Мне было интересно, можно ли запросить токен для любого пользователя AAD, не зная пароля.Я хочу, чтобы поток:

1. Разработчик обращается к веб-приложению, чтобы выбрать пользователя, которого хочет выдать себя за роль.
2. Веб-приложение проверяет, находится ли разработчик в AAD.
3. Веб-приложение проверяет, есть ли у разработчика необходимые права для олицетворения.
4. Веб-приложение возвращает токен, действительный для пользователя, которого выбрал разработчик.
5. Разработчик может использовать этот токендля аутентификации на основе API, и для всех намерений и целей является выдаваемый за себя пользователь.

Любые хорошие альтернативы этому подходу также приветствуются.

Answer 1

Нет, вы не можете выдать себя за такого пользователя.Вы можете получить токен доступа, если вы знаете их пароль, у них нет MFA и т. Д. С потоком грантов «Учетные данные» для владельца ресурса.

Но если вы хотите сделать это лучше, вы могли быпользователи, которым вы хотите выдать себя за логин вашего приложения.Получить токен доступа + обновить токен для них.Затем надежно сохраните токен обновления.Теперь вы можете использовать токен обновления в любое время вместе с учетными данными клиента вашего приложения, чтобы получить токен для этого пользователя.Токены обновления могут и действительно истекать, например, если пароль пользователя изменен.Но это может позволить вам реализовать то, что вы хотите.