在Azure和App Services中运行的应用程序的一个非常常见的流程是代表流,其中应用程序可以与其ClientId / ClientSecret交换传入访问令牌,以便以用户身份访问另一个资源。查看MSI API上当前有限的文档,我只看到获取访问令牌作为应用程序本身。
如何/何时支持OBO方案?
我知道您可以将ClientId / ClientSecret存储在Key Vault中,然后使用MSI信用来检索这些信息,但这似乎是多余的。
答案 0 :(得分:2)
MSI不支持On Behave Of flow,或其他委派的机密客户端OAuth 2.0与Azure AD一起流动(如auth代码流)。正是在设计过程中,尚未宣布ETA。