我目前正在Azure Active Directory B2C(AAD B2C)中实现“系统级”身份验证体系结构。在这些情况下,有一个初始SSO应用程序将用户重定向到常规仪表板。仪表板应使用户能够使用其他服务(服务应用程序)。 (例如,平铺视图)
要使用这些附加服务,用户必须为每个外部服务授予明确的权限。使用此委派的权限,用户授权服务访问某些数据(例如,IoT数据或个人数据)。
这些AAD B2C application在这种情况下的特征是客户端和后端应用程序(api)(针对每个服务)。客户端应用程序包含来自后端应用程序的作用域(授权权限),这些作用域作为JWT验证-策略存储在每个Azure API管理终结点中。
针对这些分配的后端范围的身份验证已经可以使用Microsoft登录提供程序(身份提供程序),但是不能使用本地身份提供程序(用于电子邮件)。
这里:My Scenario
我在应用程序清单中将访问级别从Admin更改为User:(Here)
Microsoft访问面板(works here)
我的问题是用户的本地身份访问面板(不起作用)->应该看起来像这样:Microsoft Docs(consent dialog)
对于以下请求:
https://[tenant].b2clogin.com/[tenant].onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_SignUpAndSignIn&client_id=xxxxx-xxx-xxxxxx&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid https://[tenant].onmicrosoft.com/backend/Backend.Read&response_type=id_token token&prompt=login...我总是收到以下错误消息:
AADB2C90205: This application does not have sufficient permissions against this web resource to perform the operation.未为用户显示批准框架,因此该请求因权限不足而被拒绝。
您知道如何解决此问题吗?是否有任何解决方法或配置选项?
感谢您和最诚挚的问候
我目前正在Azure Active Directory B2C(AAD B2C)中实现“系统级”身份验证体系结构。在这些情况下,有一个初始SSO应用程序将用户重定向到...
您错过了应用程序的某些范围。导航到应用程序(旧版)-> API访问