azure - 使用 Azure AD B2C 用户流(或自定义策略)进行 SAFE Stack 身份验证 - 有人解决了这个问题吗？

Question

简单但开放式的问题:是否有人成功将 SAFE Stack 应用程序连接到 Azure AD B2C，以便 guest 用户(在 B2C 租户中)可以通过定义的用户流登录还是自定义策略？

可以让我关闭我的方法循环的具体问题:知道为什么使用 Microsoft.Identity.Web 处理身份验证的应用程序会遇到这个记录不详的错误，以及如何解决它？ --

“ID 为 < > 的应用程序无法获取 ID token ，因为请求中未提供 openid 范围，或者应用程序未获得授权。”

迄今为止我失败的努力的详细信息:经过一些修改，我能够按照 Ryan Palmer 的两部分系列文章对我的 SAFE Stack(v3、.NET 5)应用程序强制进行 Azure AD 身份验证:

• https://www.compositional-it.com/news-blog/safe-authentication-with-azure-active-directory/
• https://www.compositional-it.com/news-blog/safe-stack-authentication-with-active-directory-part-2/

这会导致我的真实 Azure 登录授予我访问该应用程序的行为。但目标是启用用户流(或自定义策略，无论有效)，以便在我的 Azure AD B2C 租户中获得授权的用户可以进行身份​​验证并使用该应用程序。通过 appsettings.json 中的以下设置(以及许多尝试的变体)，对应用 URL 的调用成功重定向到登录用户流程:

"AzureAD":
{
    "Instance": "https://RoundTableExcaliburDev.b2clogin.com/",
    "Domain": "RoundTableExcaliburDev.onmicrosoft.com",
    "ClientId": "26e6d007-be46-4928-b06e-04acdbfd2913",
    "CallbackPath": "/api/login-callback",
    "SignedOutCallbackPath": "/api/logout-callback",
    "SignUpSignInPolicyId": "B2C_1A_SIGNUP_SIGNIN"
}

“b2clogin”URI(相对于 Ryan Palmer 原始版本中的 login.microsoftonline.com)和 SignUpSignInPolicyId 成功调用所需的用户流，并且我能够登录(和/或注册)已保存的虚拟用户在我的 Azure AD B2C 资源中。但是，当流程重定向到我的应用程序时，我收到上面列出的“openid 范围”错误。

该错误发生在本地主机和部署到 Azure Web 应用实例的版本上，并且发生在 Firefox、Chrome 和 Edge 中。

其他 Azure AD B2C 详细信息:

• 我已注册一个 Web 应用，其返回网址为 https:// .azurewebsites.net/api/login-callback 和 https://localhost:8080/api/login-callback
• 已在 B2C 注册应用的身份验证部分授予“访问 token ”和“ID token ”权限。
• 注册的应用有一个 secret (不是证书)，但我没有在任何地方使用过该值，我见过的任何文档也没有表明它将在哪里使用。
• 在没有身份验证的情况下，SAFE Stack 应用程序可以在本地主机和 Azure 上按预期运行。

Answer 1

好吧，我找到了解决我的问题的神奇“全部解决”按钮，但我不知道为什么有必要。在 Azure AD B2C 中创建应用程序注册后(我重复了多次的过程)，我按照说明选中了“授予管理员对 openid 和脱机访问权限的同意”框 here和其他地方。在注册应用程序的“API 权限” View 下，权限在“Microsoft Graph”下显示为“offline_access”和“openid”。尽管已经授予了这些权限，但当我单击“授予[应用程序名称]的管理员同意”并确认(重新)授予时，我的问题就消失了。

鉴于我的晦涩错误消息涉及“openid 范围”上的权限，并且考虑到我在之前的失败和随后的成功之间没有执行任何其他操作，我毫不怀疑这就是解决方案，但我不这样做理解为什么这是必要的。