0

我正在尝试在 b2c 中实现自定义 ROPC 流程。这个想法是,受信任的(内部)应用程序可以在不使用其主密码(用户可能有多种凭据)的情况下获取用户令牌,但也可以使用其他凭据。
我正在关注https://docs.microsoft.com/en-us/azure/active-directory-b2c/ropc-custom?tabs=app-reg-ga上的文档,但它明确指出:

机密客户端流程:验证了应用程序客户端 ID,但未验证应用程序机密。

但是,从我的角度来看,这些流应该只由特权客户端使用,因此 B2C 需要验证 client_secret,但这不是一个选项。

是否有解决方法,也许我可以在自定义策略定义中使用一些参数?

我知道这可以使用非 ROPC 流来实现,但某些应用程序无法将用户重定向到网页(如 TV 应用程序)。

4

1 回答 1

1

使用 azure 广告客户端凭据流,它也适用于 B2C 租户。如果它必须与用户保持一致,请为每个用户设置一个应用程序注册。

将 AAD B2C 端点用于 ROPC 策略时,服务器端 ROPC 将受到限制。

https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-client-creds-grant-flow

于 2020-11-09T13:05:51.940 回答