В настоящее время мы используем экземпляр AAD с включенным знаком федеративного пользователя (через ADFS) и синхронизацию пароля в AD Connect для синхронизации учетных записей пользователей AD и AAD. Имя входа на портале перенаправляет в ADFS sts и правильно аутентифицирует пользователей каталога с помощью паролей AD.
Попытка получить разрешение владельца ресурса для экземпляра AAD для клиентского приложения, зарегистрированного в Azure с использованием конечной точки токена, что приводит к ошибке пароля (несмотря на использование правильного пароля пользователя)
error_description ":" AADSTS70002: Ошибка при проверке учетных данных. AADSTS50126: Неверное имя пользователя или пароль
POST to https://login.microsoftonline.com/<domain>/oauth2/token
client_id={registered app id on azure}
&client_secret={secret}
&scope=code
&username={AD user}
&password={AD password}
&grant_type=password
resource=https%3A%2F%2Fgraph.microsoft.com%2F
Попробуйте изменить пароль на портале Azure, и проверка подлинности токена будет выполняться до тех пор, пока пароль снова не будет синхронизирован из AD (обратная запись пароля включена); указание синхронизации, создающей помехи паролю таким образом, чтобы не пройти облачную аутентификацию в AAD. Нужны ли какие-либо соображения относительно синхронизации паролей, чтобы аутентификация в облаке AAD была эффективной?