我们有一个面向用户的Web应用程序和一个中间层ASP.NET Core Web api,目前在Azure Ad v1.0端点上使用OAuth 2.0 On-Behalf-Of flow(OBO),仅对AAD帐户进行身份验证。我们还需要对MSA(个人)帐户进行身份验证,因此请将我们的解决方案迁移到Azure AD v2.0端点。
official sample只对AAD帐户进行身份验证并说:
“目前的限制:代表流程目前不适用于Microsoft个人帐户。”
有人可以证实这一点吗?如果是这种情况,为Microsoft个人帐户和工作或学校帐户获取服务令牌服务的替代方法是什么?
正如文档所述,常见的OBO模式不能用于签署个人和工作或学校帐户的客户。如果可能,一般准则建议将中间层应用程序和前端UI合并到一个AAD v2.0应用程序中。当然,这只能在您将一个前端映射到中间层时才能完成,并且在多个前端共享相同中间层的情况下不适用。
这个link提供了有关这些限制的原因以及我上面描述的解决方法的信息。不幸的是,合并这两个应用程序是唯一的方法。