我正在尝试在b2c中实现自定义ROPC流。这个想法是,受信任的(内部)应用程序无需使用其主密码即可获得用户令牌(用户可能具有多种凭据),而无需其他凭据。
我正在关注https://docs.microsoft.com/en-us/azure/active-directory-b2c/ropc-custom?tabs=app-reg-ga上的文档,但其中明确指出:
机密客户端流:已验证应用程序客户端ID,但未验证应用程序密钥。
但是,从我的角度来看,这些流仅应由特权客户端使用,因此B2C需要验证client_secret,但这不是一个选择。
是否有解决方法,也许可以在自定义策略定义中使用一些参数?
我知道可以使用非ROPC流程来实现,但是某些应用程序无法将用户重定向到网页(例如TV App)。
答案 0 :(得分:1)
使用azure广告客户凭证流,它也适用于B2C租户。如果必须与用户匹配,请为每个用户设置一个应用程序注册表。
将AAD B2C端点用于ROPC策略时,服务器端ROPC将受到限制。
https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-client-creds-grant-flow