单点登录 - 多个应用程序azure AD B2C

Question

我正在尝试在Azure中拥有两个应用程序（app1和app2） AD B2C，为Web api配置，另一个为移动应用程序配置的应用程序。

我需要我的移动应用与app1交谈，使用app1的应用程序ID和范围获取访问令牌。然后使用从app1获取的访问令牌与app2通信。我在策略中启用了租户级别的SSO，但仍然为所提供的访问令牌说“授权被拒绝”。

如何重用从一个应用程序获取的访问令牌以在另一个应用程序中使用。

Answer 1

我们一直试图通过数周来完成B2C AD的限制（或安全性设计）。

但是，Microsoft不支持它。

我们不希望在移动登录屏幕上向移动用户显示MS登录页面（UX受到损害）。但MS表示没有办法可以避免它。请参阅MS对支持服务单的回复。

有关详细信息：Azure AD B2C: Requesting access tokens

您还可以阅读受支持的阅读authentication scenarios。我们正在追求与此类似的内容"Daemon or Server Application to Web API"。

在此图中，Server Application =在我们的案例中为移动应用程序。但是，您会注意到在这种情况下，假设用户已经过身份验证（通过交互式流程）。

我们试图采取行动，认为我们可以编写一个Auth Web API，移动设备将获取令牌，然后将此令牌传递给我们的业务逻辑API（由B2C AD保护）。我们以某种方式获得了访问和刷新令牌，但是当测试Web应用程序（移动应用程序）将此访问令牌传递给我们的业务逻辑API时，它无法验证令牌。 B2C AD为此而战。我们的分析还没有完成。

但是，我确信B2C AD不支持我们要完成的任务。

希望这会有所帮助（我实际上会建议您寻找其他解决方案）。如果有人能提出解决这个明显业务问题的方法，我会很高兴。