我们有一个面向用户的Web应用程序和一个中间层ASP.NET Core Web API,当前在Azure Ad v1.0终结点上使用OAuth 2.0代理流(OBO),仅对AAD帐户进行身份验证。我们还需要对MSA(个人)帐户进行身份验证,因此将我们的解决方案迁移到Azure AD v2.0终结点。
official sample仅对AAD帐户进行身份验证,并说:
” 当前限制: 代表流量当前不适用于Microsoft Personal帐户。“
有人可以确认吗? 在这种情况下,为Microsoft个人帐户以及工作或学校帐户获得服务到服务令牌的替代方法是什么?
答案 0 :(得分:1)
如文档所述,不能将通用OBO模式用于同时登录个人,工作或学校帐户的客户。一般准则建议,如果可能,建议将中间层应用程序和前端UI合并到一个AAD v2.0应用程序中。当然,只有在将一个前端映射到中间层的情况下,才能执行此操作,并且不适用于多个前端共享同一中间层的情况。
此link提供了有关这些限制的原因以及我上述的解决方法的信息。不幸的是,合并这两个应用程序是唯一的方法。
答案 1 :(得分:0)
现在支持MSA的按需流动。
请检查this sample以获得更多详细信息。