我目前正在 Azure Active Directory B2C (AAD B2C) 中实现“System-of-Systems”身份验证架构。在这些场景中,有一个初始 SSO 应用程序将用户重定向到通用仪表板。仪表板应使用户能够使用附加服务(服务应用程序)。 (例如平铺 View )
要使用这些附加服务,用户必须为每个外部服务授予明确的权限。通过此委派权限,用户授权服务访问某些数据(例如 IoT 数据或个人数据)。
这些AAD B2C application在此场景中,其特征是客户端和后端应用程序 (api)(针对每个服务)。客户端应用程序包含来自后端应用程序的范围(委派权限),这些范围作为 JWT 验证 - 策略存储在每个 Azure API 管理端点中。
针对这些分配的后端范围的身份验证已适用于 Microsoft 登录提供程序(身份提供程序),但不适用于本地身份提供程序(用于电子邮件)。
<小时/>这里:My Scenario
我在应用程序 list 中将访问级别从管理员更改为用户:( Here )
<小时/>
Microsoft 访问面板 (works here )
我的问题是用户的本地身份访问面板(不起作用)-> 应该如下所示:Microsoft Docs (consent dialog)
<小时/>
对于以下请求:
https://[tenant].b2clogin.com/[tenant].onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_SignUpAndSignIn&client_id=xxxxx-xxx-xxxxxx&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid https://[tenant].onmicrosoft.com/backend/Backend.Read&response_type=id_token token&prompt=login
...我总是收到以下错误消息:
AADB2C90205: This application does not have sufficient permissions against this web resource to perform the operation.
未向用户显示审批框架,因此请求因权限不足而被拒绝。
你知道如何解决这个问题吗?有任何解决方法或配置选项吗?
谢谢你并致以诚挚的问候
最佳答案
您错过了应用程序的某些范围。导航到应用程序(旧版)-> API 访问,范围需要添加您选择的所有范围。
您定义的范围位于已发布范围中,您可以在 URL 中添加完整范围值。
这是我的网址,效果很好:
https://[tenant].b2clogin.com/[tenant].onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_SignupSignin&client_id=xxxx&nonce=defaultNonce&redirect_uri=https://jwt.ms&scope=openid offline_access https://[tenant].onmicrosoft.com/api/demo.write https://[tenant].onmicrosoft.com/api/demo.read https://[tenant].onmicrosoft.com/api/user_impersonation
&response_type=id_token token&prompt=login
更多详情,您可以查看a tutorial和 implicit flow .
关于azure - 审批框架不会向 Azure AD B2C 中的用户显示。 (用户同意),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62172818/