Вам следует избегать использования учетных данных пользователей. При сборе учетных данных пользователей, которые смягчаются с помощью OAuth 2.0 или OpenID Connect, возникают серьезные последствия для безопасности, чтобы получить токен без прямой обработки учетных данных. Кроме того, если у вас есть собственный пользовательский интерфейс сбора удостоверений, вы можете обнаружить, что в будущем этот знак не будет завершен, если включена многофакторная аутентификация. В этом случае может потребоваться дополнительная информация для аутентификации пользователя, чем вы собираете, например, один раз. Если вы разрешите Azure AD представить опыт аутентификации через OAuth 2.0 или OpenID Connect, то вы изолированы от конкретного используемого метода аутентификации. Сбор пользователей. Значения учетных данных Azure - это плохая практика, которой следует избегать, если это вообще возможно.
У меня недостаточно подробностей относительно точного сценария, чтобы быть уверенным, что применяется следующий образец, но он по крайней мере обеспечит хорошую отправную точку. В этом примере показано, как создать собственное приложение, которое вызывает REST API, который затем может называть ресурс Azure самым безопасным способом.
https://github.com/AzureADSamples/WebAPI-OnBehalfOf-DotNet
Вы можете найти много других образцов здесь, которые могут быть использованы для построения решения для конкретного сценария.
https://github.com/AzureADSamples
Если вы предоставите еще некоторые детали я могу дать более конкретные указания.
Вы имеете в виду, как использовать OAuth 2.0 с Azure ОБЪЯВЛЕНИЕ? Процесс вызова по вызову описан [здесь] (https://msdn.microsoft.com/en-us/library/azure/dn645543.aspx). [Лаборатория аутентификации ADA] (https://msdn.microsoft.com/en-us/library/azure/jj573266.aspx) упрощает этот процесс –
Спасибо - это именно то, что мне нужно – COBOL
Тот факт, что вы упоминаете, что учетные данные пользователей заставляют меня нервничать. Не могли бы вы добавить немного более подробно на ваш вопрос. Является сценарий: собственное приложение -> ваш API REST -> API Azure AD Rest. Или это: Веб-приложение -> ваш API REST -> API Azure AD Rest. Или что-то другое. В зависимости от точного сценария я могу указать вам образцы, которые не позволят вам когда-либо обрабатывать учетные данные пользователей, что было бы намного безопаснее с точки зрения безопасности. –