Azure Настройка олицетворения пользователя между двумя приложениями

Question

В настоящее время я работаю между двумя приложениями в Azure, которые должны взаимодействовать друг с другом. Существует приложение, которое должно вызывать API другого приложения. Я настроил олицетворение пользователя в своей регистрации приложения, где у меня есть доступ к конечной точке API (приложению). Основное приложение (вызывающий API) извлекает токен через API графа Microsoft, используя мой идентификатор клиента / секрет клиента. Затем я использую созданный токен доступа для вызова конечной точки API. Проблема в том, что конечная точка направляет запрос на страницу входа Microsoft. Как я могу избежать попадания на страницу входа Microsoft.

Поток API:

1. Пользователь входит в первое приложение (используя учетную запись Microsoft)

2. Приложение получает токен из моего приложения, созданный в Azure (без внутреннего кода) и вызывающий API-интерфейс Graph для получения токена

3. (Исходное приложение) использует токен, созданный для вызова конечной точки.

4. Запрос отправлен на страницу входа.

Answer 1

Идея состоит в том, чтобы распространять делегированные идентификационные данные и разрешения через цепочку запросов. Чтобы сервис среднего уровня мог отправлять аутентифицированные запросы в нисходящий сервис, он должен защищать токен доступа от платформы идентификации Microsoft от имени пользователь.

Когда вы отправляете запрос токена доступа между сервисами, установите scope с областью действия вашего API. Тогда вы получите токен доступа для API и больше не попадете на страницу входа.

Более подробно вы можете обратиться к этой статье .