【发布时间】:2021-03-23 21:09:46
【问题描述】:
上下文:
- 租户的 Azure AD B2C
- 已配置外部身份提供程序
- 已配置 B2C 登录流程(登录注册)
- API 后端在此租户的 AAD B2C 中定义为具有 2 个范围的应用程序
- “管理员和用户”可以同意
- 在此租户的 AAD B2C 中定义为应用程序的外部客户端/第三方应用程序(机密)
- 外部客户端/第三方应用程序拥有 2 个作用域的权限
- 状态为“无”,我没有授予管理员同意,我希望用户自己同意
- 在企业应用程序中 |用户设置
- 用户可以同意应用代表他们访问公司数据:是
- 同意和许可 |用户同意设置 => 允许用户同意应用 - 所有用户都可以同意任何应用访问组织的数据。
授权网址:
https://xxx.b2clogin.com/xxx.onmicrosoft.com/oauth2/v2.0/authorize
?p=B2C_1_signup_login
&client_id=xxx
&nonce=defaultNonce
&redirect_uri=xxx
&scope=offline_access%20openid%20profile%20email%20https%3A%2F%xxx.onmicrosoft.com%2F6D6E9DF9-4546-47D8-8EDB-D65EC89A0E90%2Fproduct_scope_2
&response_type=code
&code_challenge=ThisIsntRandomButItNeedsToBe43CharactersLong
&code_challenge_method=plain
用户被重定向到外部 IDP 提供商,登录。不要求用户同意。回调 url 使用code 调用,可以交换为id_token。受众 (aud) 是客户端应用程序的 client_id,而不是 API。
如果我授予管理员同意,code 可以交换为access_token 和id_token,并且观众可以(API 的client_id)。
对于客户端应用程序+范围,我必须配置什么才能让用户同意?我找不到任何关于此的文章:用户同意和外部身份提供者。
【问题讨论】:
标签: oauth-2.0 azure-active-directory azure-ad-b2c scopes