如果在多个技术概要文件中定义了相同的输出声明，那么预期的行为是什么 特别是如果一个技术配置文件发出一个输出声明，而另一个稍后执行的技术配置文件定义了相同的输出声明，但在运行时没有发出，那么预期的行为是什么？如果有两个不同的编排步骤，每个步骤都包含一个发出相同声明的技术配置文件，然后，如果发出索赔，则后一步中的TechnicalProfile将“覆盖”索赔的值 让我们举一个具体的例子（尽管有些虚构） 步骤1使用一个TechnicalProfile作为自断言页面，该页面通过“OutputClaim

我们有一个应用程序“A”，其中用户必须输入存储在索赔“索赔人”和 一个新的应用程序“B”，其中用户必须输入存储在声明“ClaimB”中的属性（特定于此应用程序“B”），并且 我们正在使用自定义策略，并且有通用的基本策略和扩展策略。我们已经创建了组合SignUpSignPolicy-A和组合SignUpSignPolicy-B 我们面临的问题是：-即使在登录时也会询问新的索赔（用户已经提供了注册时的价值）。我们希望在注册时和不存在时会询问新的索赔。但它似乎总是在执行这一步 我遵循了这里提到的解决方

我正在将我们的应用程序从使用内置用户流切换到自定义策略，这样我们就可以启用一些我们需要的功能，如帐户链接和REST集成 我的TrustFrameworkBase.xml和TrustFrameworkExtensions.xml策略文件都可以正常上载。但当我尝试上载依赖方文件时，我遇到了一个无法解释的验证错误： 验证失败：在租户“hyperproof localdev.onmicrosoft.com”的策略“B2C_1A_注册”中发现2个验证错误。策略“B2C_1A_注册”的Azure Activ

我正在尝试更新我已经发布到我的B2C租户的B2C自定义策略。位于的文档不包含任何代码示例，也没有真正解释在执行PUT/trustFramework/policies/{id}/$value时，$value应该是什么 有人能提供一些关于美元价值应该是多少的见解吗 感谢您对于PUT操作，$value表示您正在替换信任框架策略资源的原始内容（即XML内容），因此不必将其设置为特定值 您只需将内容类型请求头设置为应用程序/xml，将请求正文设置为策略文件的xml内容。代码示例-明白了。谢谢。没问题，@V

在ASP.NET Core 3.1的B2C用例中实例化Microsoft身份验证库时使用的b2cScopes属性使我完全困惑不解。这是经典的 ，令人困惑的是，示例代码实际上没有实现helloapi或demoapi： var appConfig = { b2cScopes: ["https://fabrikamb2c.onmicrosoft.com/helloapi/demo.read"], webApi: "https://fabrikamb2chello.azurewe

我正在尝试按照以下自定义策略实现无密码配置： 上载xml文件时，我收到以下错误消息： 租户“xxxxx.onmicrosoft.com”的B2C_1A_TrustFrameworkExtensions_passwordless“引用了id为“LocalAccountDiscoverySingleMailAddress”的TechnicalProfile，但策略及其任何基本策略均不包含此类元素。策略 有人能帮忙吗？您尚未部署Azure AD B2C入门包。 遵循先决条件

我正在创建B2C用户与社会身份提供商的帮助下注册的政策，但我们有一个要求添加一些用户属性（扩展属性）到这个新用户。例如，为用户设置“AccountId” 如果我添加“AccountId”作为注册属性，并输入一些值，它工作正常，当我通过Graph API检查用户属性时，“AccountId”是正确的 但是在这种情况下，“AccountId”不应该是可编辑的，也不应该对用户可见，我只希望注册策略将“AccountId”添加到使用facebook创建的用户中，作为注册页面上的隐藏字段 是否可以从使

我有一个使用ADB2C身份验证保护的api。我需要通过自定义策略调用此api。我遵循文档，添加了两个技术配置文件，作为自断言配置文件的验证技术配置文件 我正在获取由以下技术配置文件返回的访问令牌： <TechnicalProfile Id="SecureREST-AccessToken"> <DisplayName></DisplayName> <Protocol Name="Proprietary&

文件中提到了STS。什么是STS acquireTokenSilent：用于从缓存获取令牌。如果缓存的令牌未过期，MSAL将返回该令牌。或者，它将向STS发送请求，以使用隐藏的iframe获取访问令牌。要续订idToken，应将clientId作为scopes数组中的唯一作用域传递 STS代表的是。在标准的上下文中，它基本上映射到授权服务器，授权服务器在认证和授权之后向应用程序颁发令牌 在Azure AD B2C中，STS可以与其他身份提供商（如Facebook、谷歌等）联合。因此这可以引用Az

如何在使用组合登录/注册策略进行重定向登录时显示的默认Azure AD B2C登录UI中显示取消按钮？ 取消按钮应将用户重定向回my Angular 4 SPA中的调用页面。这是否可以在不使用登录/注册策略的自定义页面布局的情况下实现？不，不可以。您必须使用自定义页面 仅供参考，“仅注册”策略有一个“取消”按钮。登录/注册策略中的注册页面有一个取消按钮。是的，我注意到了。而且它也不在登录策略的初始页上。知道为什么会这样吗？这是一个bug还是一个特性？我不知道。希望MSFT有人能插话解释原因。我

我已经根据社会和本地帐户的示例为社会和本地帐户创建了自定义策略。我已经启用了Microsoft和Google的登录功能，并测试了这两种功能，我还启用了使用本地帐户登录 当我得到以下声明时 exp、nbf、ver、iss、sub、aud、acr、nonce、iat、认证时间、电子邮件、姓名、姓氏、姓名、idp、地址哈希 当我登录到a时，声明集缺少“电子邮件”，但该电子邮件列在“名称”声明中 exp、nbf、ver、iss、sub、aud、acr、nonce、iat、认证时间、给定姓名、姓氏、姓名、

在Starter pack的自定义策略“SignUpSignIn”中，您在同一屏幕上有“发送验证”按钮和“创建”按钮 当您在未首先验证电子邮件地址的情况下按下“创建”按钮时，该按钮不会响应，并且不会显示任何错误消息 当用户按下“创建”按钮但尚未完成电子邮件验证时，如何显示错误消息？B2C中没有内置的显示错误的方法，但是有两种可能的解决方法： 本地化-您可以修改本地化字符串，使用户在继续之前必须单击“发送验证”按钮。您可以将验证介绍文本更改为“在您创建帐户之前，出于安全原因，我们需要您验证您的电子

您是否有关于如何处理来自同一用户的多个对象ID的指导（用户来自Facebook和Google，两个对象ID，在电子邮件字段中填充相同的电子邮件）？ A.告诉他们太糟糕了——将其视为单独的账户。 B在我们的应用程序中构建一个流程，将数据重新分配给不同的用户对象。 C在我们的应用程序中建立一个流程，将多个用户对象链接到同一数据。通常，尽管来自不同身份提供者的帐户属于一个用户，我们建议您将它们视为不同的帐户 因为他们来自不同的国内流离失所者。不同的IDP无法为用户交换信息。如果将它们链接到相同的数据，

我正在使用Azure“B2C”，用户正在B2C中成功创建。我正在使用动态网络应用程序。即，存在多个web应用程序 sssss01.example.com sss2.example.com wwwss2.example.com........ 当用户想要使用B2C登录时，它成功登录，但它的回复url不正确。我登录了azure，B2C应用程序不支持通配符（*）。那么，是否有添加通配符的选项，或者任何其他实用的管理方法？ 不同web应用的登录回复url不同。OAuth2不支持通配符重定向url。请参

在尝试自定义unified（登录和注册页面）时，我的unified.HTML模板（片段）中包含以下简单HTML： 欢迎来到SuperFancyProductName®； 但是，当Azure AD B2C呈现登录页面时，该元素将从h1元素内部剥离，结果如下（片段）： 欢迎来到SuperFancyProductName® 在我们的例子中，这不允许我们正确对齐®符号 是否有关于模板html中允许哪些标记以及此模板转换实际如何工作的文档？有一部分html是允许的，但没有文档记录 看起来这

我们正试图在Azure AD B2C中实现ROPC流 我已经阅读了B2C高级策略和按照以下链接提供的说明，以配置B2C自定义策略并面临一些问题 虽然我们提供了正确的用户名和密码，但我们正在 { “错误”：“访问被拒绝”， “错误描述”：“AADB2C90225:请求中提供的用户名或密码无效。\r\n相关ID: 8c15d7ab-ba5b-4baf-be5a-8bfdb9939164\r\n时间戳：2019-01-23 06:18:19Z\r\n“} 您是否已将ProxyIdentityExp

我正在处理一个客户项目，我们正在验证客户的IDP解决方案是否存在问题，或者这是一个B2C配置项目。在验证中，我将Azure AD（不同订阅）连接到另一配置上的Azure B2C实例。处理进行得很顺利，但最后我们得到的对象引用没有设置为对象的实例 Azure AD正在向B2C初始化SSO（IDP初始化会话），以模拟客户的解决方案将要执行的操作 我一直在努力追踪对象引用是什么，但没有任何运气。感谢您的帮助 37 { "Kind": "HandlerResult", "Content"

我的意思是azure ad b2c作为服务提供商，而非基于microsoft SAML的IDP作为身份提供商 我想使用非microsoft基于SAML的IDP与将成为服务提供商的azure ad b2c应用程序联合。是的，请参阅此链接作为如何与任何SAML IDP联合的示例：

我想知道，是否可以在Azure AD B2C应用程序注册中公开多个API？您不能。每个API都由一个应用程序注册表示，因此如果您有许多API，则每个API都需要一个应用程序注册。App Reg可以公开它所表示的API的权限（作用域）

我的应用程序是一个多租户SaaS产品，它使用AADB2C进行身份验证。到目前为止，我们已经允许人们使用谷歌、Office 365（即OrgIds）和电子邮件+密码登录 现在，我们的客户希望点亮SSO，特别是Okta。我在网上找到了有关与SAML提供者集成的信息，并能够使用这些信息连接到我在Okta中设置的测试目录。这种与Okta目录的单一集成可以按预期工作 我不清楚的是，如何适当地将其扩大到更多客户（即我的更多租户）。特定于目录的Okta元数据URL嵌入在TechnicalProfile元数据部

我正在尝试以下示例：active-directory-b2c-javascript-msal-singlepageapp。我可以登录了。但是，我正在登录用户“未定义” 我在我创建的Azure b2c实例和示例中都得到了这一点。是否有需要在某处设置的属性？例如，我注意到客户端代码包含作用域： 常量登录请求={ 作用域：[“openid”，“profile”]， }; 我是否设置在azure中的某个位置设置这些属性？能否确保“显示名称”属性作为azure AD B2C令牌中的“名称”声明发布 在B

我在B2C中有一个自定义策略，它调用RESTAPI。当前，在运行策略时，当到达调用RESTAPI的技术配置文件时，配置文件将等待api返回响应 在中添加RESTAPI后，策略完成所需的时间现在明显增加了延迟。这将是RESTAPI运行所需的时间 然而，我的RESTAPI只是用来传递一组数据。api没有返回给B2C然后使用的值。因此，是否可以更改自定义策略，以便在调用rest api后，不再等待它的响应，而是继续执行自定义策略中的下一步？据我所知，不，您无法更改该行为。我建议更改它正在调用的API，

首次使用B2C策略。正在尝试上载本地的初学者声明包。所有文件都给了我相同的错误： 验证失败：在租户“mineb2c.onmicrosoft.com”的策略“B2C_1A_PASSWORDRESET”中发现1个验证错误策略xml“yourtanent.onmicrosoft.com”中的.TenantId与登录租户“mineb2c.onmicrosoft.com”中的不同。策略xml“yourtanent.onmicrosoft.com”中的TenantId与登录租户“mineb2c.onmicr

我试图在新用户通过创建自定义Azure AD B2C自定义策略注册时调用我们的REST API。我尝试将调用添加到API中，既可以作为验证配置文件（如中所述），也可以作为用户旅程（如中所述） 这两种方案我都无法实现。在这两种情况下，我都会收到以下错误，“AADB2C90027:为“REST API注册”指定的基本凭据无效。请检查凭据是否正确，以及资源是否已授予访问权限。” 当我使用Application Insights并将对API的调用添加为用户输入的验证时，我看到抛出了“类型为“Web.TP

我正在尝试使用自定义策略为注册配置语言自定义，但没有成功。任何指导，请提前感谢 I made the following configuration to achieve language customization. 在信任框架扩展策略中，我通过以下XML更改启用了本地化 <SupportedLanguages DefaultLanguage="en" > <SupportedLanguage>en</SupportedLanguage&g

我正在尝试将示例Android AppAuth应用程序与B2C租户一起使用 从登录/注册流重定向后，我收到“ERR:UNKNOWN\u URL\u SCHEME”。正在生成响应令牌 按照microsoft azure网站中的建议提供appAuthRedirectScheme 任何帮助都将不胜感激 确保将“本机客户端”开关转到“是”。您的重定向URL应该有一个唯一的自定义方案，以便您的Android应用程序捕获回调 请检查本文中的示例，以确保已正确设置 您需要确保代码中的所有引用与应用程序注册中的

我计划使用Azure AD B2C作为我们现有的20个应用程序的SSO解决方案。 问题是，无论哪个应用程序用户登录，检查用户是否经过身份验证的最可靠方法是什么。假设用户通过app1登录，然后用户转到app2的匿名页面，在客户端，我需要决定用户是否登录。 我希望有一个b2clogin.com端点，在这里我可以简单地发出ajax请求，并检查用户是否登录 提前谢谢 也许我错了，我想一定有一个cookie，所以请使用Fiddler进行调试，然后检查网页是否属于任何应用程序都有权阅读的域。Hi@g.pic

我们有4个不同的b2c帐户，以反映我们的不同阶段。（开发，测试，prepod，prod）。我们使用jenkins部署自定义策略，它们是相同的（租户除外）。在dev和prepod中，我为jwk获得了 { "keys": [ {"kid":"cryDHrls_bD7W0G0PEd-4k61TsW-aQmprRc4hxVwLEo","use":"sig","kty":"RSA","e":"AQAB","n":"uXyfO_YvhkxIhk3k3cFmvigl9tcewAaohABpukYs

我的自定义策略适用于苹果登录，但一旦我提交给苹果审查，他们就拒绝了我的应用，因为按钮没有使用正确的设计/品牌。有没有办法定制带有徽标和颜色的“使用苹果登录”按钮 来自苹果： 您的应用程序使用“使用苹果登录”作为登录选项，但没有按照“使用苹果人机界面登录”指南中的描述，适当地使用“使用苹果按钮设计、品牌和/或用户界面元素登录”。事实上，我能够自定义很多内容，包括按钮背景图像，这是使用自定义页面和css的徽标。我刚刚学习了本教程： 只需确保使用至少一个模板，如海洋蓝或石板灰。这样您就不必从头开始创建

如果ASP.NET会话超时为20分钟（滑动），ID令牌生存期和Web应用程序会话生存期会有什么影响 ID令牌生存期似乎是绝对的（默认为60分钟）。当身份验证过期时会发生什么情况，是在下一个请求时触发新的身份验证，还是仅当ID令牌和ASP.NET会话都过期时才会发生 Web应用程序会话生存期可以是绝对的，也可以是滚动的（默认为1440分钟）。它是针对B2C还是针对ASP.NET应用程序？ID令牌生存期和Web应用程序会话生存期之间的关系是什么？我的理解是，当ID令牌过期时，如果Web应用会话未过期

我需要提供IdP（SAML2.0）我们Azure B2C租户的SingleLogoutService位置，例如 <md:EntityDescriptor … <md:SPSSODescriptor … <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://login.microsof

本文解释了如何将login_提示传递到ADFS登录页面。我的ADFS ClaimsProvider技术档案中的InputClaims定义如下所示。（用户名包含上一个用户旅程步骤中的用户登录名。） 对AAD声明提供程序执行完全相同的操作很好，但对SAML2协议不起作用。根据这篇文章，它应该是有效的。我做错什么了吗？嗨。应该是{OIDC:LoginHint}将包含传入的login\u hint OIDC参数……这意味着如果您向B2C发送登录提示，那么您将这样做。但是，这不是我的情况……我想向上游

在我的一次用户旅行中，我实现了通过id_token_hint获取索赔。现在，我们要检查用户是否已在以后使用有效令牌进行了身份验证 我的想法是使用声明转换，如果子声明在IdTokenHint\u ExtractClaims技术概要文件中成功提取，则将声明isTokenAuthentication设置为true 但是，当使用id_token_提示调用策略时，sub声明会添加到声明包中，但是缺少isTokenAuthentication 以下是我当前的步骤： 依赖方 <RelyingParty&

描述如何从自定义策略收集日志。然而，生成的日志相当神秘，很难解释。因此，Microsoft文档提到了社区开发的应用程序，它应该提供应用程序洞察数据以及用户旅程事件的结构化视图。此外，还有一个描述如何设置用户旅程查看器应用程序的示例 很遗憾，我无法让用户旅程播放器应用程序为我的租户工作。我已成功配置App Insights配置，但仍缺少相关文档中提到的Open ID Connect配置的描述。因此，使用我自己的租户来取代TenantId是显而易见的，但我想知道我必须使用哪个ClientId、Cli

我以前使用过msal1.x中的GetAccount函数 现在，我的理解是，msal浏览器将返回缓存的帐户，即使用户已注销 acquireTokenSilent还将返回未过期的缓存令牌，即使用户不再登录 那么，了解用户是否仍然登录B2C的最佳方法是什么 此外，注销用户是否仍可以将刷新令牌交换为访问令牌 1.那么，了解用户是否仍然登录B2C的最佳方法是什么 MSAL.js不会跟踪当前登录的帐户。因此，我们只能知道用户是否已登录，但无法知道他们是否仍在登录。因为当您想让用户退出应用程序时，仅清除应用程

想确认我们是否可以通过Azure AD B2C策略而不是发送它的应用程序发送注册的魔法链接。上的示例显示发送B2C注册链接的应用程序 任何指针都会有帮助。虽然我觉得这是可行的，但需要专家的验证 谢谢谢谢@Suchmita，请按照下面的示例使用自定义代码实现 设置SendGrid 我已经实施了一个非常类似的解决方案，部分基于提供的示例，因此我可以确认B2C确实具有此功能。这应该是可能的。请查看此链接：。您好，此链接正在通过应用发送电子邮件。B2C页面能否通过邮件发送注册链接？

在哪里可以找到所有受支持的Azure AD B2C自定义策略声明转换方法的列表 我在谷歌、必应、DuckDuckGo和GitHub上搜索过这样的列表，但都找不到 TrustFrameworkPolicy_0.3.0.0.xsd架构不包含它 -确实有一个过时的列表-无法使用某些方法，如AddParameterToStringCollection。当前不存在此类列表。您应该通过 最好的办法是浏览所有的转换，看看这些转换中包含哪些转换。虽然可能还有其他版本，但如果初学者软件包或文档中没有引用，则不支持

如何在B2C和自定义策略中启用电子邮件验证 为了对其进行反向工程，我尝试在内置策略中禁用它，并下载了该策略。我尝试将元数据项添加到我的自我声明的技术配置文件中，但没有成功 逆向工程测试|内置策略 假的 我的自我声明技术简介 用户注册 真的 ... 我正在为本地帐户使用用户名，以备不时之需。无论本地帐户是使用电子邮件地址或基于用户名的登录名创建的，您都可以通过将PartnerClaimType=“Verified.email”添加到您自我声明的技术配置文件的“电子邮件”输出声明中来添加电子

我们可以控制B2C中的请求权限吗 我已将我的B2C租户配置为允许从GitHub登录，但我担心请求完全访问权限的问题❗ 此应用程序将能够读取和写入所有用户数据 示例应用程序： 不，我们无法控制这一点

我想知道是否有人讨论过Identity Framework体验何时以及是否会从预览版转移到GA？我可以看到它至少有一年没有被放在预览版了。我很担心在它的基础上构建一个新的解决方案，如果它不能进入GA的话 谢谢 乍得与Azure专家讨论。时间线还不清楚

我们真的很难理解如何支持OIDC在B2C（或任何提供商提供的OIDC）中工作 我们认为我们理解协议的（某些）部分……但被其他部分完全弄糊涂了 想知道是否有人可以看看下面的图表，并（希望）纠正后的更正 我们的问题是： 在将用户发送到IdP并将会话记录Guid id保存为Nonce之前创建会话记录是否正确？ 在重新发行代币时，临时代币会保持不变吗 有没有可能变成DoS攻击向量，攻击受保护的资源URL？或者应该使用WAF提前停止请求 我们已经对此争论了一段时间——但是从IdP获得的Auth_令牌

我成功地遵循了以下指南： 并且可以使用Graph API邀请用户并将其添加到我的Azure租户 我对用户在身份验证后重定向到的回调有问题，我希望对用户进行身份验证，因此我希望在回调中返回一个auth令牌，但是没有任何内容 我可以找到很多关于这个问题的信息，所以我想知道我是否做错了。有什么想法吗？邀请api不适用于B2C场景。它更适合B2B场景 邀请api文档- 如果这是一个B2C场景，请您进一步解释一下您计划实现什么

我目前有一个Angular SPA应用程序，它使用Azure B2c授权用户，并使用令牌传递给微服务以获取/设置所有功能 我现在想构建一个API，客户端可以使用它自己访问微服务（直接或通过Azure API管理） 我找不到任何关于这方面的好文档，但理想情况下，我希望用户能够在我们的应用程序中创建“应用程序”，为他们提供API密钥和机密，然后他们可以用这些来交换JWT令牌，并将其传递给微服务——理想情况下生成的Azure B2C，这样它就可以使用与我们现在所做的相同的身份验证。 将密钥/秘密转换为

我正在开发一个可以读取给定OneDrive帐户文件的应用程序 我们使用Azure AD B2C作为身份提供商。用户可以使用其Microsoft帐户登录到应用程序。为此，我们在我的AAD B2C租户 当给定用户使用其Microsoft帐户登录时，应用程序应该能够获取access\u token和refresh\u token，这使我们能够与MS Graph API通信，以便获取文件详细信息 使用自定义策略，我们能够获取访问\u令牌。但是，我们无法获取刷新\u令牌 这是TrustFrameworkE

检查AD B2C中是否存在用户（使用自定义策略）如果用户存在显示登录选项否则（如果用户不存在）显示注册表 我试过使用下面的策略，但没有成功 我试图比较objectid，这样我可以有EmailExists声明，但它不会根据objectid exists给出true/false 任何人都知道怎么做，请帮助“已知电子邮件”步骤，逻辑应该是“ObjectId是否存在”。 在编排步骤中，在代码验证步骤后使用给定的电子邮件读取目录。在AAD技术配置文件中，如果找不到用户，请使用元数据配置不引发错误

根据，Azure B2C中忘记密码工作流的预期步骤为： 查看登录页面 单击“忘记密码链接” B2C向应用程序发送错误“用户忘记了密码” 然后，应用程序将重定向回相应的密码重置工作流 挑战 然而，在我的例子中，我将Azure AD B2C与CMS集成，CMS没有定制应用程序的灵活性。此产品中的标识工作流（我无权配置）不了解如何处理Azure AD B2C提供商的此类错误 这意味着，当前任何在登录页面上单击忘记密码链接的用户都会在CMS中出现500错误 问题: 是否有任何方法可以修改此工作流，

使用AADB2C身份体验框架自定义策略，我试图创建一个UserTravel，它允许多个社交提供商以及本地提供商，但只允许登录，不允许注册。上载包含UserTravely的TrustFrameworkExtensions文件时，上载失败，错误为： 无法上载策略。原因：验证失败：2个验证错误 可在租户“mytenant.onmicrosoft.com”的策略“B2C_1A_TRUSTFRAMEWORKEXTENSIONS”中找到。id为“SignInWithLogonNameExchange”的Cl

我尝试使用自定义策略和API管理标识配置Azure B2C，但没有成功 当我使用Azure B2C内置策略时，它工作得非常好 当我使用Azure B2C自定义策略（与）时，Azure B2C提供商出现在APIM登录页面上。登录成功后，我收到一条错误消息“身份验证失败” Azure B2C自定义策略是否支持APIM身份 谢谢你的帮助 我已经做了。它可以支持APIM识别。你可以发布你如何使其工作的详细信息吗？

Azure AD中最新发布的外部身份功能可从https://portal.azure.com但不是来自https://aad.portal.azure.com。当我们转到用户流刀片或用户属性刀片时，刀片的行为不同 这是一个CORS问题。微软已经解决了这个问题，现在客户可以使用aad.portal.azure.com

我们有一个Web应用程序，用户通过Azure B2C进行身份验证。我们添加了一个Azure广告应用程序作为索赔提供商。因此，我们的用户应该能够通过本地帐户和Azure AD帐户登录。对于那些通过Azure AD App登录的用户，我们希望获得访问和刷新令牌，以便能够调用Microsoft Graph。获取访问令牌可以工作，但不会发送刷新令牌 这是自定义策略TrustFrameworkExtensions.xml： <ClaimsProvider> <Domain>az