在 Postman 中为 Azure AD B2C 请求访问令牌

Question

我如何在Postman 中针对Azure AD B2C 租户请求Access Token？

---

我尝试从 Azure 门户中的 Run Now 获取 URL 并将其放入 Auth Url 中，但这会产生以下错误：

---

更新

按照克里斯的回答，我现在已经克服了上述错误。我可以登录，但仍然无法获得访问令牌：

AADB2C90085：服务遇到内部错误。请重新验证并重试。 相关 ID：45c56d47-4739-465f-8e02-49ba5b3a1b86 时间戳：2017-11-16 15:27:52Z

Answer 1

进行此设置有点令人头疼。这是我从这个线程中的答案拼接在一起的内容，更新以利用 Postman 的 Grant Type: Authorization Code (With PKCE)

起点也归功于https://blogs.aaddevsup.xyz/2020/08/performing-azure-ad-oauth2-authorization-code-grant-flow-with-pkce-in-postman/。

使用：Azure B2C 租户、JS SPA 前端、Azure Function 后端。

Azure 门户 (Azure AD B2C)

• SPA 和后端的设置或多或少如本 MS 文档中所述（小心，某些部分已过时！）：https://docs.microsoft.com/en-us/azure/api-management/howto-protect-backend-frontend-azure-ad-b2c

• @ SPA 应用程序注册 > 身份验证刀片 > 将此值添加到“单页应用程序重定向 URI” https://oauth.pstmn.io/v1/callback

• @Azure AD B2C |应用注册，点击“端点”（蓝色地球图标@顶部）

• 记录 Azure AD B2C OAuth 2.0 令牌端点 (v2) 和 Azure AD B2c 2.0 授权端点 (v2)

邮递员

• 授权：Oauth 2.0
• 将身份验证数据添加到：请求标头

配置新令牌

• 代币名称：WhateverYouWant

• 授权类型：使用 PKCE 的验证码

• 回调网址：https://oauth.pstmn.io/v1/callback

• [ ] 使用浏览器授权（未选中）

• 身份验证 URL：https://.b2clogin.com/.onmicrosoft.com//oauth2/v2.0/authorize

• 访问令牌 URL：https://.b2clogin.com/.onmicrosoft.com//oauth2/v2.0/token

• 客户端 ID：

• 客户端密码：

• 代码挑战方法：SHA-256

• 代码验证器：

• 状态：

• 范围：类似于 .onmicrosoft.com/Hello

• 客户端身份验证：在正文中发送客户端凭据

• 点击[清除cookies]和[获取新访问令牌]

Answer 2

2020-05-26 更新

Microsoft 更改了 Azure Active Directory B2C 的登录 URL，如您所见 here。

所以@spottedmahn answer 必须更新为：

授权类型：Implicit

回调 URL：我的 B2C 应用中定义的任何 URL

授权网址：https://{tenant}.b2clogin.com/te/{tenant}.onmicrosoft.com/{policy}/oauth2/v2.0/authorize

客户端 ID：来自我的 B2C 应用程序的应用程序 ID

范围：https://{tenant}.onmicrosoft.com/{web api app id uri}/{scope name}

客户端认证：任意一个都无所谓

Answer 3

使用@Chris Padgett's answer，我能够使用Implicit 授予类型使其工作（无法使用授权代码格兰类型使其工作）。

---

授权类型：Implicit

回调 URL：我的 B2C 应用中定义的任何 URL

授权网址：https://login.microsoftonline.com/te/{tenant}/{policy}/oauth2/v2.0/authorize

客户 ID：Application ID 来自我的 B2C 应用

范围：https://{tenant}.onmicrosoft.com/{web api app id uri}/{scope name}

客户端认证：Either one, it didn't matter

Answer 4

我可以在 Postman 中获得适用于两种授权类型的 B2C 请求访问令牌：grant_type=implicit 和 grant_type=authorization_code。我已经打开了一个关于MS documentation的问题：

• 更新文档并提及grant_type=authorization_code" 也是可能的（参见说明）：https://github.com/aspnet/Docs/issues/10336

以下更改是必要的：

grant_type=implicit 和grant_type=authorization_code 之间的唯一区别是grant_type=authorization_code 需要更多参数，如下所示：

• 访问令牌（访问令牌请求） URL：https://login.microsoftonline.com/"tenant-name".onmicrosoft.com/oauth2/v2.0/token?p=B2C_1_"name-of-your-signup-signin-流”

• client_secret：为您的应用程序生成密钥：Azure 门户 -> Azure AD B2C -> 应用程序 -> -> 密钥 -> 生成密钥

Answer 5

我只是想为繁荣添加一些额外的信息，因为我最近花了很长时间试图解决与错误 AADB2C90085 相关的问题，而这个问题是 Google 上为数不多的结果之一。

更新

按照克里斯的回答，我现在已经克服了上述错误。我可以登录，但仍然无法获取访问令牌：

AADB2C90085：服务遇到内部错误。请重新验证并重试。相关 ID：45c56d47-4739-465f-8e02-49ba5b3a1b86 时间戳：2017-11-16 15:27:52Z

还有：

使用@Chris Padgett 的回答，我能够使用隐式授权类型使其工作（无法使用授权代码格兰类型使其工作）。

我在使用授权代码流时收到此错误，因为我的 B2C_1A_TokenSigningKeyContainer 和 B2C_1A_TokenEncryptionKeyContainer 生成错误。一旦我按照Get started with custom policies in Azure Active Directory B2C 的指南进行操作，错误就会停止发生。

链接中的相关摘录：

创建签名密钥

1. 选择策略密钥，然后选择添加。
2. 对于选项，选择生成。
3. 在名称中，输入 TokenSigningKeyContainer。前缀 B2C_1A_ 可能会自动添加。
4. 对于密钥类型，选择 RSA。
5. 对于密钥用法，请选择签名。
6. 点击创建。

创建加密密钥

1. 选择策略密钥，然后选择添加。
2. 对于选项，选择生成。
3. 在名称中，输入 TokenEncryptionKeyContainer。前缀 B2C_1A_ 可能会自动添加。
4. 对于密钥类型，选择 RSA。
5. 对于密钥使用，选择加密。
6. 点击创建。

Answer 6

对于 Auth URL 字段，您只需输入不带查询字符串参数的授权端点 URL：

https://login.microsoftonline.com/te/{tenant}/{policy}/oauth2/v2.0/authorize

对于访问令牌 URL 字段：

https://login.microsoftonline.com/te/{tenant}/{policy}/oauth2/v2.0/token

对于回调 URL 字段，您必须输入在 Azure AD B2C 应用程序中注册的回复 URL，例如：

https://www.getpostman.com/oauth2/callback

对于 Scope 字段，输入“openid”以及任何 API 访问范围。

对于客户端身份验证字段，选择“在正文中发送客户端凭据”。