Очень распространенный поток для приложений, работающих в Azure и службах приложений, - это поток от имени, в котором приложение может обмениваться входящим токеном доступа вместе со своим ClientId / ClientSecret, чтобы получить доступ к другому ресурсу в качестве пользователя. Глядя на текущую ограниченную документацию по MSI API, я вижу получение токена доступа только как само приложение.
Как / когда будет поддерживаться сценарий OBO?
Я знаю, что вы можете сохранить ClientId / ClientSecret в Key Vault, а затем использовать кредиты MSI для их получения, но это кажется избыточным.