Как разрешить ошибки AADSTS500207 и AADSTS500208 в моих вызовах API Entra ID B2C ⇐ C#

[Anonymous]

У меня есть бэкэнд для слоя приложения Frontend (BFF), и его API может использоваться публичными учетными записями, и я хочу использовать Entra B2C для него.
API BFF должен иметь возможность получить доступ к внутренним API, которые используют Entra Id. />https://learn.microsoft.com/en-us/entra ... lf-of-flow
У меня есть две регистрации приложений, по одному в каждом арендаторе (B2C + внутренний). Я сделал внутреннее приложение, видимое для арендатора B2C, и дал разрешения B2C App Reg для выделенного сфера возможности из внутреннего приложения.

Код: Выделить всё

https://.ciamlogin.com//oauth2/v2.0/authorize

с потоком кода Auth с PKCE.
Чтобы получить токен, который я могу использовать против моего BFF, я использую определенную область из приложения B2C App.
Это работает, и я получаю токен.https://.ciamlogin.com//oauth2/v2.0/token
< /code>
или < /p>
https://login.microsoft.com//oauth2/v2.0/token
< /code>
с токеном доступа в качестве утверждения и прицелом для внутреннего API. < /p>
Первый дает мне < /p>

aadsts500207: тип аккаунта не может быть использован для ресурса, который вы пытаетесь получить. Второе: < /p>

AADSTS500208: Домен не является достоверным доменом входа для типа учетной записи. Кроме того, я также не уверен, есть ли библиотечная поддержка от Microsoft.identity.Web для этого.
Существует пакет IdownStreamapi, но я не заставил его работать, и мне нужно заставить его работать через другие библиотеки. Поэтому я сначала попробовал поток вручную, чтобы убедиться, что он работает, и правильно настрою.

Подробнее здесь: https://stackoverflow.com/questions/777 ... -api-calls