Конечная точка Azure Ad v2.0 от имени пользователя для учетных записей MSA (Microsoft) и AAD

Question

У нас есть пользовательское веб-приложение и промежуточный веб-интерфейс ASP.NET Core среднего уровня, в настоящее время использующий поток OAuth 2.0 On-Behalf-Of (OBO) на конечной точке Azure Ad v1.0, аутентифицирующий только учетные записи AAD. Нам также необходимо аутентифицировать личные учетные записи MSA, поэтому перенесите наше решение на конечную точку Azure AD v2.0.

Официальный образец аутентифицирует только учетные записи AAD и сообщает:

" Текущие ограничения : Поток от имени в настоящее время не работает для личных учетных записей Microsoft. "

Может кто-нибудь подтвердить это? Какая альтернатива для получения сервисного токена как для личных учетных записей Microsoft, так и для рабочих или школьных учетных записей, если это так?

Answer 1

Как сказано в документации, общий шаблон OBO не может использоваться для клиентов, которые регистрируют как личные, так и рабочие или школьные учетные записи. Общие рекомендации рекомендуют, если возможно, объединить приложение среднего уровня и интерфейсный интерфейс в одно приложение AAD v2.0. Конечно, это может быть сделано только в том случае, если у вас есть один интерфейс, сопоставленный со средним уровнем, и он не будет применим в случаях, когда несколько интерфейсов используют один и тот же средний уровень.

Эта ссылка предоставляет информацию о причинах этих ограничений и обходном пути, который я описал выше. К сожалению, объединение двух приложений - единственный способ.