ウェブAPI鎖（オン代理-の）

Question

、オン代わっ-の流れB2Cではサポートされていません：（オン代理-の）

ウェブAPIチェーンAzure AD B2Cではサポートされていません。

多くのアーキテクチャには、Azure AD B2Cで保護された別のダウンストリームWeb APIを呼び出す必要のあるWeb APIが含まれています。このシナリオは、Web APIバックエンドを持つネイティブクライアントでよく発生し、Azure AD Graph APIなどのMicrosoftオンラインサービスを呼び出します。

このチェーンWeb APIシナリオは、OAuth 2.0 JWTベアラクレデンシャルグラント（別名、オンデマンドフロー）を使用することでサポートできます。ただし、現在、Azure AD B2Cではオン・フロアフローは実装されていません。

---

私は最初のWeb APIリクエストからJWTを引き出し、次のWeb APIにそれを一緒に渡すことができませんか？私は技術的には知っていますが、私はしたくない理由がありますか？

このアプローチは、両方のWeb APIが同じB2Cアプリケーション用に構成されている場合にのみ機能します。多分それは違いです。おそらく2つの別々のB2Cアプリケーションを参照しているドキュメントですか？

---

リファレンス：Access the JWT bearer token when using the JWT middleware in ASP.NET Core

Answer 1

OAuth 2.0のオン代理-の流れは、クライアントからアクセストークンを受信し、「https://resourceserver1」、最初のリソースに関連しています。このアクセストークンを委任されたアイデンティティによる第2のリソース「https://resourceserver2」へのアクセスのための別のアクセストークンと交換するステップと、そのアクセストークンを第2のリソースに送信することを含む。

This Azure AD documentationは、On-Behalf-Ofフローを説明しています。

これを考えると、2つの異なるアプリケーションに2つの異なるアプリケーションが必要であり、2つの異なるリソースが必要になる可能性があります。

B2C Support for on-behalf-of flowでこの機能に投票できます。