使用Azure AD验证个人MS帐户时，无法使用特定于租户的端点

Posted 2021-04-03

我们希望我们的客户能够使用个人或工作帐户进行身份验证。我们已经在Azure中设置了一个单独的AD，邀请客户使用它来授予他们访问我们的应用程序的权限。

在ASP.NET Core应用程序中，https://login.microsoftonline.com/{myTenantID}/v2.0用作身份验证端点。通过门户网站在预览应用程序注册中注册的应用程序的客户端ID和秘密随请求一起提供。验证我们的工作帐户工作顺利，但在尝试验证大多数个人帐户时，会返回错误消息：An error was encountered while handling the remote login. AADSTS50020: MSA guest token redemption attempt on v2 common endpoint.

是否无法使用特定于租户的端点（仅限/common）验证MSA？

类似的问题：Azure AD B2B Authentication error for users with custom domains - AADSTS65005: Using application 'My Application' is currently not supported

此外，该评论指出在多租户应用程序中验证MSA不起作用，但是，我们的应该是单一的租户：https://github.com/Azure-Samples/active-directory-dotnet-webapp-roleclaims/issues/10#issuecomment-145125080

答案

如果您使用v2端点同时针对B2C和B2B定位工作和个人电子邮件，则需要使用公共端点，以便能够调用Azure AD保护的端点。