问题描述
我已经在Azure Active目录中注册了一个多租户应用程序,我正在IBM Websphere OIDC TAI配置中使用所有oauth v2.0端点。但是我仍然得到v1.0的accesss_token,它显然具有不同的发行者,因此在匹配发行者标识符时JWT验证失败。我期望如此,
"iss": "https://login.microsoftonline.com/my-tenant-id/v2.0"
但是我明白了
"iss": "https://sts.windows.net/my-tenant-id/",我正在使用Microsoft Graph API。
解决方法
如果您需要获取可以以标准方式验证的访问令牌,则需要“公开API范围”,以便获得可验证的令牌,如AllenWu所说。
Azure AD的行为有点不直观,我的Visual Blog Post应该使您能够确定需要做的事情。
请参阅步骤3、6和7。