Невозможно вызвать Graph API, используя поток от имени ASP.NET Core Web API. ⇐ C#

[Anonymous]

Я пытаюсь реализовать пользователя от имени в веб-API ASP.NET Core (.NET 5). Я получаю access_token из мобильного приложения и отправляю его в свой веб-API. Веб-API использует этот токен для вызова API Graph для получения сведений о профиле пользователя.
Файл Startup.cs

Код: Выделить всё

 services.AddAuthentication("JwtBearer")
.AddJwtBearer("JwtBearer", options =>
{
options.MetadataAddress = $"https://login.microsoftonline.com/{Configuration["b2bAzureAppIdentity:TenantId"]}/v2.0/.well-known/openid-configuration";
options.TokenValidationParameters = new TokenValidationParameters()
{
ValidIssuer = $"https://sts.windows.net/{Configuration["b2bAzureAppIdentity:TenantId"]}/",

// as audience, both the client id and the identifierUri are allowed (sematically equivalent)
ValidAudiences = new[] { Configuration["b2bAzureAppIdentity:AppIdUri"], Configuration["b2bAzureAppIdentity:ClientId"] }
};
}).AddMicrosoftIdentityWebApi(Configuration, "b2bAzureAppIdentity")
.EnableTokenAcquisitionToCallDownstreamApi()
.AddMicrosoftGraph(Configuration.GetSection("DownstreamApi"))
.AddInMemoryTokenCaches();

controller.cs

Код: Выделить всё

 [HttpGet("GetMyDetails")]
[AuthorizeForScopes(Scopes = new string[] { "user.read" })]
public async Task GetMyDetails()
{
var user = await _graphServiceClient.Me.Request().GetAsync();
return new OkObjectResult(user.Photo);
}

Настройки приложений имеют формат ниже

Код: Выделить всё

 "b2bAzureAppIdentity": {
"Instance": "https://login.microsoftonline.com/",
"Domain": "",
"TenantId": "",
"ClientId": "",
"ClientSecret": "",
"AppIdUri": ""},
"DownstreamApi": {
"BaseUrl": "https://graph.microsoft.com/v1.0",
"Scopes": "user.read"},

В Azure разрешения и область действия API установлены правильно. Это очевидно, поскольку, когда я совершаю вызовы от почтальона, я могу получить токен доступа для on_behalf_of и использовать его для получения данные профиля пользователя, вызвав https://graph.microsoft.com/v1.0/me
В контроллере по этой строке

Код: Выделить всё

var user = await _graphServiceClient.Me.Request().GetAsync();

Я получаю сообщение об ошибке: «В вызов AcquireTokenSilent не была передана подсказка об учетной записи или входе в систему».
Я искал эту ошибку и ее решение в Google. говорит, что пользователь должен дать согласие на область, однако администратор на портале Azure уже дал согласие. Кроме того, тот факт, что это работает в Postman, позволяет предположить, что конфигурации приложения и API верны.


Кто-нибудь сталкивался с подобной проблемой?

Подробнее здесь: https://stackoverflow.com/questions/677 ... re-web-api