Мобильная версияBFF для внутреннего API с AAD/Entra ID B2C (.NET/ASP.NET Core/Identity.Web) ⇐ C#
-
Anonymous
BFF для внутреннего API с AAD/Entra ID B2C (.NET/ASP.NET Core/Identity.Web)
У меня есть BFF, и его API может использоваться общедоступными учетными записями, и я хочу использовать для него Entra/AAD B2C. API/BFF должен иметь доступ к внутренним API, использующим Entra ID/AAD.
Мой план состоял в том, чтобы реализовать следующий поток с «от имени потока» (OBO)
https://learn.microsoft.com/en-us/entra ... lf-of-flow
У меня есть две регистрации приложений, по одной в каждом клиенте (B2C + внутренний). Я сделал внутреннюю регистрацию приложения видимой для клиента B2C и предоставил разрешения регистрации приложения B2C для выделенной области из внутренней регистрации приложения.
Общедоступные пользователи аутентифицируются:
https://.ciamlogin.com//oauth2/v2.0/authorize с потоком кода аутентификации с помощью PKCE.
Чтобы получить токен, который я могу использовать против своего лучшего друга, я использую определенную область действия из реестра приложения B2C.
Это работает, и я получаю токен.
Теперь я пытаюсь инициировать поток OBO для:
https://.ciamlogin.com//oauth2/v2.0/token или
https://login.microsoft.com//oauth2/v2.0/token с токеном доступа в качестве утверждения и областью действия внутреннего API.
Первый дает мне
AADSTS500207: тип учетной записи не может использоваться для ресурса, к которому вы пытаетесь получить доступ. второе:
AADSTS500208: Домен не является допустимым доменом для входа в систему для данного типа учетной записи. Я исследовал, но нашел только примеры от Microsoft, которые используют поток OBO для Graph, а не для собственных API. Кроме того, я не уверен, есть ли для этого поддержка библиотеки от Microsoft.Identity.Web. Существует пакет IDownstreamAPI, но он у меня не заработал, и, кроме того, мне нужно заставить его работать через HttpClientFactory, а не через интерфейс IDownstreamAPI, что затрудняет его использование вместе с другими библиотеками. Поэтому я сначала попробовал этот процесс вручную, чтобы убедиться, что он работает, и все настроил правильно.
Будем рады любым подсказкам и примерам кода.
У меня есть BFF, и его API может использоваться общедоступными учетными записями, и я хочу использовать для него Entra/AAD B2C. API/BFF должен иметь доступ к внутренним API, использующим Entra ID/AAD.
Мой план состоял в том, чтобы реализовать следующий поток с «от имени потока» (OBO)
https://learn.microsoft.com/en-us/entra ... lf-of-flow
У меня есть две регистрации приложений, по одной в каждом клиенте (B2C + внутренний). Я сделал внутреннюю регистрацию приложения видимой для клиента B2C и предоставил разрешения регистрации приложения B2C для выделенной области из внутренней регистрации приложения.
Общедоступные пользователи аутентифицируются:
https://.ciamlogin.com//oauth2/v2.0/authorize с потоком кода аутентификации с помощью PKCE.
Чтобы получить токен, который я могу использовать против своего лучшего друга, я использую определенную область действия из реестра приложения B2C.
Это работает, и я получаю токен.
Теперь я пытаюсь инициировать поток OBO для:
https://.ciamlogin.com//oauth2/v2.0/token или
https://login.microsoft.com//oauth2/v2.0/token с токеном доступа в качестве утверждения и областью действия внутреннего API.
Первый дает мне
AADSTS500207: тип учетной записи не может использоваться для ресурса, к которому вы пытаетесь получить доступ. второе:
AADSTS500208: Домен не является допустимым доменом для входа в систему для данного типа учетной записи. Я исследовал, но нашел только примеры от Microsoft, которые используют поток OBO для Graph, а не для собственных API. Кроме того, я не уверен, есть ли для этого поддержка библиотеки от Microsoft.Identity.Web. Существует пакет IDownstreamAPI, но он у меня не заработал, и, кроме того, мне нужно заставить его работать через HttpClientFactory, а не через интерфейс IDownstreamAPI, что затрудняет его использование вместе с другими библиотеками. Поэтому я сначала попробовал этот процесс вручную, чтобы убедиться, что он работает, и все настроил правильно.
Будем рады любым подсказкам и примерам кода.
-
- Похожие темы
- Ответы
- Просмотры
- Последнее сообщение
-
-
Обновление с AAD B2C до Microsoft Entra Внешний идентификатор - «ресурс» отсутствует
Anonymous » » в форуме C# - 0 Ответы
- 3 Просмотры
-
Последнее сообщение Anonymous
-
-
-
Обновление с AAD B2C до Microsoft Entra Внешний идентификатор - «ресурс» отсутствует
Anonymous » » в форуме C# - 0 Ответы
- 2 Просмотры
-
Последнее сообщение Anonymous
-
-
-
Использование AAD B2C со шлюзом приложений (/с Kubernetes) не работает => 404
Anonymous » » в форуме C# - 0 Ответы
- 59 Просмотры
-
Последнее сообщение Anonymous
-
-
-
Порядок регистрации пользователя с помощью Azure B2C и Microsoft.Identity.Web
Anonymous » » в форуме C# - 0 Ответы
- 14 Просмотры
-
Последнее сообщение Anonymous
-
-
-
Порядок регистрации пользователя с помощью Azure B2C и Microsoft.Identity.Web
Anonymous » » в форуме C# - 0 Ответы
- 11 Просмотры
-
Последнее сообщение Anonymous
-
