У меня есть сайт ASP.NET Web Forms, где пользователи будут входить в систему с помощью Azure Active Directory. В качестве клиента он называет сайт Asp.Net Core Web Api, который будет возвращать некоторую информацию в зависимости от роли клиента. Подход аналогичен образцу https://github.com/Azure-Samples/active-directory-dotnet-webapp-webapi-openidconnect-aspnetcore.Могут ли клиентские и сервисные веб-приложения использовать одно и то же приложение Azure Active Directory?
Каждое приложение в образце имеет собственное приложение Azure Active Directory. Мое приложение имеет довольно много ролей приложений, и их поддержка в обоих приложениях может быть раздражающей и подверженной ошибкам. Я хочу, чтобы клиент и служба использовали одно приложение AAD, чтобы не поддерживать одни и те же роли в двух приложениях AAD.
Я не видел такую архитектуру в примерах, - любая проблема с таким подходом?
Я попытался реализовать его и получил «многообещающую» ошибку, что «сценарий поддерживается».
AADSTS90009: Приложение запрашивает токен для себя. Этот сценарий поддерживается только в том случае, если ресурс указан с использованием идентификатора приложения GUID .
К сожалению, я не понимаю, как указать ресурс «с использованием идентификатора приложения на основе GUID». В запросе я уже использую GUID ресурс = HTTPS% 3A% 2F% 2FMyDomain.onmicrosoft.com% 2Fe0a25761-XXXX-XXXX-XXXX-2aefc7e3134d
Совет изменить некоторые GUID на MS Форумы нить https://social.msdn.microsoft.com/Forums/azure/en-US/3de0c14d-808f-47c3-bdd6-c29758045de9/azure-ad-authentication-issue-aadsts90009?forum=WindowsAzureAD#cf3986f5-3422-44d1-bcb7-3a4201f68fa2(I попросил уточнений там) также неясно.
Так что мой вопрос: Могу ли я использовать одно и то же приложение AAD между клиентом и Службой, и, если да, как это сделать?
Что такое 'customOauth2PermissionsId', @ fei-xue? –