On behalf of (OBO)

O fluxo em nome de (OBO) descreve o cenário de uma API da Web usando uma identidade diferente da sua para chamar outra API da Web. Conhecida como delegação no OAuth, a intenção é passar a identidade e as permissões de um usuário pela cadeia de solicitações.

# api://a3bc9b43-9309-473f-b4f5-cf2a5879baa7  API A
# api://688326da-db0e-4614-9cad-ed0d6885f843  API B
@tenant = ...
@token = eyJ0eXAiOiJKV1QiLCJhbGciOiJSUz...

#https://learn.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-on-behalf-of-flow
POST  https://login.microsoftonline.com/{{tenant}}/oauth2/v2.0/token
Content-Type: application/x-www-form-urlencoded

grant_type= urn:ietf:params:oauth:grant-type:jwt-bearer
&client_id= a3bc9b43-9309-473f-b4f5-cf2a5879baa7
&client_secret=...
&assertion={{token}}
&scope=api://688326da-db0e-4614-9cad-ed0d6885f843/AccessAPI
&requested_token_use=on_behalf_of

no Azure AD

Token Obo

Referência

1. Microsoft identity platform and OAuth2.0 On-Behalf-Of flow — Microsoft identity platform | Microsoft Learn
2. Microsoft identity platform and OAuth2.0 On-Behalf-Of flow — Microsoft identity platform | Microsoft Learn
3. https://github.com/Soucheff/OAuthFlows.git