Приложение Azure с веб-API и Microsoft Graph

Question

У меня есть веб-приложение и API, зарегистрированные на https://apps.dev.microsoft.com. В моем API я добавил в Предварительно авторизованные приложения мой идентификатор веб-приложения.Все идет нормально.Он работает со следующими областями: openid, profile и api://APP_ID_GUID/access_as_user.

Мне также нужен доступ к Microsoft Graph, но добавление https://graph.microsof.com/user.read к моим областям приводит к:

AADSTS700022: Предоставленное значение для области входного параметра недопустимо, поскольку оно содержит более одного ресурса.Область действия openid profile https://graph.microsoft.com/user.read api://APP_ID_GUID/access_as_user недействительна.

Как получить токен, чтобы я мог использовать оба?Мне нужно только перечислить пользователей в Active Directory.Единственный способ увидеть это - получить отдельный токен доступа для Microsoft Graph и использовать его, когда я хочу запрашивать пользователей из AD.

Answer 1

Токен доступа действителен только для одного API.Вам нужно два токена доступа для вызова двух API.

Пока ваше приложение получило необходимое согласие, оно может получить токены доступа либо с помощью токена обновления (вы можете получить токен доступа для любого ресурсаиспользуя токен обновления) или скрытый iframe, который использует поток неявного предоставления (который использует MSAL.JS).