у запросить API-интерфейс Azure AD Graph для полученияпретензии групп для зарегистрированного пользователя из зарегистрированного приложения Azure B2C. Приложение, из которого я звоню, это Angular 5 SPA.

После экспериментов с Azure Active Directory и adal-angular4 мне удалось получить пользовательские настройки.роли ролей, Для этого я зарегистрировал приложение Azure AD, установил необходимые области разрешений, добавил пользовательские роли в манифест приложения, добавил пользователя в приложение и установил пользовательскую роль для пользователя. Затем я использовал идентификатор приложения моего нового зарегистрированного приложения и владельца для конфигурации adal-angular4. Когда я запрашиваю конечную точку, я получаю токен, который содержит утверждение о ролях. Это работает хорошо. Когда я меняю роль, это отображается в токене.

Этого утверждения о ролях было бы достаточно для меня, но для этого требуется два входа: одно для моего приложения B2C, а другое для другого зарегистрированного приложения. Я не думаю, что смогу использовать один и тот же токен для обоих.

Чтобы иметь только один логин, я хочу напрямую запросить Azure B2C. Я слышал, что он не предлагает возможность запрашивать роли пользователя, такие как Azure Active Directory, и был направлен на использованиегруппы пользователей, Я также видел документацию и мне сказали, что мне нужно использовать API Azure Graph, потому что Microsoft Graph еще не реализовал возможность запрашивать эту информацию.

Я пытался следовать аналогичному пути для B2C, который я использовал с AAD. Я создал группу и добавил пользователя в группу. Я пытался получить доступ к информации моего приложения B2C с помощью конечной точки API Azure Graphhttps://graph.windows.net/myorganization/users?api-version=1.6 используя MSAL.js, но я получаю ошибку"code": "Authentication_MissingOrMalformed", Я проверил, что токен получен MSAL и добавляется в запрос. Когда я изменяю URL на недействительный, я получаю ту же ошибку. Я искал и нашел вопросы с той же проблемойВот, Вот, но никто не ответил

Как я могу исправить эту ошибку?

Нужно ли иметь локальную учетную запись администратора?

Есть ли какие-то специальные области, которые мне нужно установить в моем приложении B2C, чтобы предоставить авторизацию для моих запросов? Если есть, то что конкретно они? Я попытался обменять различные значения для областей в конфигурации MSAL и не нашел ничего, что работает.

Это приложение должно быть мультитенантным?

Я нашел ресурсы натокены доступа а такжеприцелы но я использую Angular 5 / typescript и у меня нет клиентской библиотеки Azure AD Graph, которая доступна в .NET. Я не смог использовать ни один из ресурсов.