Azure ad b2c 使用B2C生成的密钥对IEF策略令牌进行签名

似乎在使用IEF时，我需要提供/生成自己的签名密钥，并通过“issuer_secret”CryptographicKeys元素将其提供给JwtIssuer TechnicalProfile。我更希望B2C使用自己的签名密钥，这些密钥的生成频率要比我手动生成的频繁得多，并且仍然可以通过JWKS端点使用。有没有办法做到这一点？（或者我遗漏了一些重要的原因，为什么它在默认情况下不能工作？

出于安全原因，B2C不会将其签名密钥用于IEF策略

应用程序使用密钥验证令牌是否由特定安全令牌服务（STS）颁发。当出现一个令牌，对用户做出某些声明时，该应用程序如何确保它应该信任B2C发布的令牌

在IEF中，策略作者可以自由发布关于用户的任何声明。因此，B2C不得签署这些代币，因为这些声明可能正确，也可能不正确

从管理的角度来看，考虑这一点的最佳方式是使用IEF创建自己的自定义安全令牌服务（STS）。作为STS的一部分，您还必须管理密钥

（尽管IEF可以添加工具以使密钥滚动更容易，但它仍然不能使用与B2C相同的签名密钥。）