Должны ли приложения, содержащиеся в MainApp, проходить повторную аутентификацию с помощью AzureAD, если пользователь уже прошел аутентификацию для MainApp с помощью AzureAD

Question

У меня есть WebApplication (например, WebApp1 на https://test.com/webapp1). WebApp1 требует, чтобы пользователи проходили аутентификацию с помощью AzureAD (TenantId: T1, ClientId: C1). В WebApp1 есть ссылки для доступа к другим приложениям в том же домене

• https://test.com/webapp2
• https://test.com/webapp3

Когда пользователь щелкает ссылку WebApp2 / WebApp3 изнутри WebApp1, следует ли нам снова реализовать проверку подлинности AzureAd с другим ClientId для WebApp2 и WebApp3?

Ниже приведена общая картина системы:

1. MainWebApp

Answer 1

Если они все разные приложения и просто используют общее пространство имен DNS DNS, тогда да, было бы лучше использовать отдельные идентификаторы клиента для всех трех приложений. В своем Tenant T1 вы можете создать отдельных участников службы (регистрация приложения) для WebApp2 и WebApp3 и добавить разрешение в webapp1 для webapp2 и webapp3. А внутри кода приложения / api, когда вы звоните "https://test.com/webapp2", попробуйте сгенерировать токен-носитель с помощью Client-Credential Flow и добавьте токен-носитель jwt в заголовки авторизации api и напишите аутентификацию логика в промежуточном программном обеспечении WebApp2 / WebApp3.