Я разрабатываю API (ASP.NET Core), доступ к которому осуществляется через отдельно размещенный веб-клиент (React), оба размещены на Azure как службы приложений. Клиентское приложение должно иметь аутентификацию на основе Azure Ad (одиночный клиент, предпочтительно с защитой лазурной аутентификации на основе AAD). Когда пользователь входит в клиентскую систему, API должен иметь доступ к MS Graph от имени пользователя. Очевидно, что оба ресурса должны быть защищены, я пробовал использовать лазурную аутентификацию на основе AAD в обеих службах приложений, но мне не удалось получить токен для MsGraph в этом подходе с токеном, полученным из аутентификации в ADD на стороне API.
Вопрос в том, как избежать передачи токена в MsGraph с токеном для azure aad auth от клиента и получить токен для msGraph только на основе токена из aad auth, имея только одно место для входа пользователей и обеспечения безопасности обеих служб приложений?
Я использую самородок для MsGraph на стороне Api для взаимодействия с MsGraph. Я не нашел ни одного образца, относящегося к этому конкретному случаю.