Azure AD B2C - 支持守护程序应用程序以及 B2C 客户端，例如 Web 页面和本机移动应用程序

Question

I have an Azure AD B2C protected ASP.NET 6 WebAPI, and a ASP.NET Web site and a native mobile app are using the WebAPI using the authorization code flow (basically I followed https://github.com/Azure-Samples/active-directory- aspnetcore-webapp-openidconnect-v2/tree/master/4-WebApp-your-API/4-2-B2C ）。 这一直工作没有任何问题。

现在，我需要支持从守护程序应用程序调用上面的 WebAPI。 此守护程序应用程序将定期访问 WebAPI 以触发维护和测试类型的处理。 但是，Azure AD B2C 不支持根据https://docs.microsoft.com/en-us/azure/active-directory-b2c/application-types#current-limitations的守护程序应用程序。

如果有一种通用的方法来解决它，我很想知道。 The only workaround I can think of is to create an app registration in Azure AD (rather than Azure AD B2C) and create a separate instance of the WebAPI (publish WebAPI as a different name) that uses the new Azure AD registration. 守护程序应用程序可以使用客户端 ID 和密码来使用新的 WebAPI 实例。 我验证了这是可行的，但是创建一个单独的 WebAPI 实例是不可取的，我希望避免它。 谢谢！

Answer 1

是的，不支持客户端凭据流。

文档。 建议解决方法。

“虽然 Azure AD B2C 身份验证服务当前不直接支持 OAuth 2.0 客户端凭据授予流程，但您可以使用 Azure AD 和 Microsoft 身份平台 /token ( https://login.microsoftonline.com ) 设置客户端凭据流/your-tenant-name.onmicrosoft.com/oauth2/v2.0/token ) Azure AD B2C 租户中应用程序的端点。Azure AD B2C 租户与 Azure AD 企业租户共享某些功能。

Answer 2

我最终在 B2C 上使用了 ROPC 流，它可以用作守护程序应用程序。

https://docs.microsoft.com/EN-US/azure/active-directory-b2c/add-ropc-policy?tabs=app-reg-ga&pivots=b2c-user-flow

Answer 3

您可以使用客户端凭据流： https://docs.microsoft.com/en-us/azure/active-directory-b2c/client-credentials-grant-flow?pivots=b2c-custom-policy 。