Azure Web 应用程序的 Azure Api 管理身份验证

我想要实现的目标不仅是能够向内部 AD 工作人员授予访问权限，我还想处理组织外部的 API/人员，而不是让他们成为来宾 AD 用户（或 Microsoft Entra）

要允许组织外部的所有用户访问 Azure 广告应用程序，您必须通过选择“”任何组织目录中的帐户（任何 Microsoft Entra ID 租户 - 多租户）和个人 Microsoft 帐户（例如 Skype）将应用程序创建为 多租户 ，Xbox）”

我创建了

APIMapp

APIMClientApp

在

APIMapp

我添加了

APIMClientApp

在APIM中，更新了入境政策如下：

<inbound>
<base  />
<validate-jwt  header-name="Authorization"  failed-validation-httpcode="401"  failed-validation-error-message="Unauthorized. Access token is missing or invalid.">
<openid-config  url="https://login.microsoftonline.com/common/.well-known/openid-configuration"  />
<required-claims>
<claim  name="aud"  match="any">
<value>APIMappClientID</value>
</claim>
</required-claims>
</validate-jwt>
</inbound>

现在要授权另一个租户用户，我使用了以下端点：

https://login.microsoftonline.com/common/oauth2/v2.0/authorize?
&client_id=APIMClientApp
&response_type=code
&redirect_uri=https://jwt.ms
&response_mode=query
&scope=api://APIMapp/user_impersonation
&state=12345

使用以下参数生成访问令牌：

https://login.microsoftonline.com/common/oauth2/v2.0/token

client_id:APIMClientApp
scope:api://APIMapp/api.access
code:code
redirect_uri:https://jwt.ms
grant_type:authorization_code
client_secret:ClientSecret

当我解码访问令牌时，范围就存在：

• 使用上述访问令牌，其他租户用户可以调用 APIM。
• 如果您只想授权其他租户 Azure AD 用户，则通过选择“任何组织目录中的帐户（任何 Microsoft Entra ID 租户 - 多租户）”来创建应用程序
• 并利用

  https://login.microsoftonline.com/organizations/

参考：

客户端应用程序配置 (MSAL) - Microsoft Entra