Аутентификация Azure AD для нескольких доменов

Question

У меня есть приложение Cordova, которое я аутентифицирую с помощью плагина Azure AD Cordova, и все работает нормально. Но теперь я интегрирую сервисы, опубликованные в другом домене, и не могу аутентифицировать эти сервисы с помощью мобильного маркера, сгенерированного после аутентификации. Может кто-нибудь подсказать мне, как защитить несколько доменных API, опубликованных как веб-API Azure, и использовать токен для доступа к защищенным API.

Я пытался изменить параметры безопасности на портале Azure одного из API, включая URL-адреса ответов для обоих API

Когда я включаю токен в заголовок запросов ajax, идущих на конечные точки 2-го домена, я просто получаю "несанкционированную" ошибку.

Answer 1

Звучит так, как будто вы можете получить токен доступа в настройках Cordova и у вас возникают проблемы с доступом к нескольким веб-интерфейсам после входа пользователя.

Протокол аутентификации, который я бы предложил вам использоватьэто от имени потока, который здесь обозначен: https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-on-behalf-of-flow

По итогу:

Поток OAuth 2.0 On-Behalf-Of (OBO) служит сценарию использованиягде приложение вызывает сервис / веб-API, который, в свою очередь, должен вызывать другой сервис / веб-API.Идея состоит в том, чтобы распространять делегированные идентификационные данные пользователя и разрешения через цепочку запросов.Чтобы служба среднего уровня выполняла аутентифицированные запросы к нисходящему сервису, ей необходимо защитить токен доступа от платформы идентификации Microsoft от имени пользователя.

Это необходимо для получения нового доступа.токен с нужной аудиторией для получения доступа к веб-API 2.