Как мой WebAPI должен получать доступ к другим API, выставленным другими Арендаторами в Microsoft Identity Platform, в мое приложение?

Question

У меня есть модель «концентратор и луч» для одного веб-сайта ASP.NET Core и несколько «API-интерфейсов лучей», которые расположены у N других клиентов AzureAD.

... который вызывает API-приложения, расположенные в других арендаторах ...

Моя цель - иметь этот "хаб"«веб-сайт использует пошаговое согласие с внешними партнерами, которые соответствуют сценарию: Защищенный API AzureAD вызывает другой Защищенный API . Ключевое отличие в моей ситуации заключается в том, что второй API находится в другом клиенте, которым управляет другой администратор, которого я не знаю. (Должен ли я остерегаться драконов? Если да, то кто они?)

Поскольку мне нужно использовать поток «От имени» для доступа к этим внешним веб-сайтам, веб-сайт становится доверенным клиентом. Примеры AAD включают в себя только приложения для доверенных клиентов Desktop и SPA для этого сценария ( sample1 , sample2 )

Вопрос

1. Это поддерживаемый сценарий? (Арендаторы, предлагающие услуги другим Арендаторам)
2. Какой предпочтительный способ предоставления доступа к API-областям, разрешениям и другим идентификаторам GUID / идентификаторам?
3. В конечной точке v2 поддерживаются как личные, так и AAD учетные записи?
4. Как мне перевести GUID арендатора для областей и другого содержимого в манифесте приложения в отображаемое имя?

Answer 1

Это поддерживаемый сценарий? (Арендаторы, предлагающие услуги другим Арендаторам)

Да, это поддерживается. Если у вас есть webapi в арендаторе A (webapi A) и вы хотите получить доступ к webapi в арендаторе B (webapi B должен быть мультитенантным приложением), webapi B должен существовать в арендаторе A в приложениях Enterprise (кто-то в арендаторе A когда-либовошли в webapi B).

В конечной точке v2 поддерживаются как личные, так и учетные записи AAD?

Да, конечная точка V2 поддерживает как личные, так и учетные записи AAD.