Quero consultar a API do Azure AD Graph para recuperar ogrupos reivindicam para o usuário conectado de um aplicativo B2C registrado do Azure. O aplicativo do qual estou ligando é um SPA Angular 5.

Depois de experimentar o Azure Active Directory e o adal-angular4, consegui recuperar a personalização personalizada de um usuário.reivindicações de papéis. Para fazer isso, registrei um aplicativo do Azure AD, defini os escopos de permissão necessários, adicionei funções personalizadas ao manifesto do aplicativo, adicionei o usuário ao aplicativo e defini a função personalizada para o usuário. Em seguida, usei a ID do aplicativo e o inquilino do meu novo aplicativo registrado para a configuração adal-angular4. Ao consultar o terminal, recebo o token que contém a declaração de funções. Isso funciona bem. Quando altero a função que aparece no token.

Essa declaração de funções seria suficiente para mim, mas requer dois logons, um para meu aplicativo B2C e outro para meu outro aplicativo registrado. Acho que não posso usar o mesmo token para ambos.

Para ter apenas um logon, quero consultar o Azure B2C diretamente. Ouvi dizer que ele não oferece a capacidade de consultar as funções do usuário como o Azure Active Directory e foi direcionado para o usogrupos de usuários. Também vi documentação e me disseram que preciso usar a API do Azure Graph porque o Microsoft Graph ainda não implementou a capacidade de consultar essas informações.

Tentei seguir um caminho semelhante para o B2C que usei com o AAD. Criei um grupo e adicionei um usuário ao grupo. Tentei acessar as informações do meu aplicativo B2C com o ponto de extremidade da API do Azure Graphhttps://graph.windows.net/myorganization/users?api-version=1.6 usando MSAL.js, mas recebo o erro"code": "Authentication_MissingOrMalformed". Eu verifiquei que um token é recuperado pelo MSAL e está sendo adicionado à solicitação. Quando altero o URL para um inválido, recebo o mesmo erro. Pesquisei e encontrei perguntas com o mesmo problemaaqui, aqui, mas nenhum é respondido

Como corrijo esse erro?

É necessário ter uma conta de administrador local?

Existem escopos especiais que preciso definir no meu aplicativo B2C para conceder autorização para minhas consultas? Se houver, o que são especificamente? Tentei trocar valores diferentes para os escopos na configuração do MSAL e não encontrei nada que funcionasse.

Este aplicativo precisa ser multilocatário?

Encontrei recursos emtokens de acesso eescopos mas estou usando Angular 5 / typescript e não tenho a Biblioteca de Clientes do Azure AD Graph disponível no .NET. Não consegui usar nenhum dos recursos.