我们将 ADB2C 自定义策略配置为连接到 Azure AD 外部身份提供程序。对于同一个 Azure AD 租户,我们注册了两个具有完全相同设置的应用程序,指向我们的 AD B2C 租户。当我比较它们的清单时,它们完全相同。我能看到的唯一区别是第一个应用程序是在一年前创建的。但是,当我尝试在 B2C 令牌中获取 Azure AD 的嵌入式访问令牌时,除了 TechnicalProfile 中的 <Item Key="response_types">code</Item> 之外,我还需要在自定义策略元数据节点中设置 <OutputClaim ClaimTypeReferenceId="idpToken" PartnerClaimType="{oauth2:access_token}" />。否则,我不会得到嵌入的令牌。它适用于稍后注册的 Azure AD 应用程序以及我们公司中另一个 Azure AD 的应用程序,但一年前创建的应用程序崩溃(指向同一个 Azure AD)。我得到的错误是 error_description=AADB2C90289%3a+We+encountered+an+%27invalid_client%27+error+connecting+to+the+identity+provider. 当 response_types 切换回 id_token 时错误消失,但嵌入的令牌也丢失了。
知道第一个 Azure AD 应用程序配置中缺少什么吗?