Microsoft Graph, как получить доступ к клиентскому каталогу с помощью регистрации мультитенантного приложения - PullRequest
Новая
       38

Microsoft Graph, как получить доступ к клиентскому каталогу с помощью регистрации мультитенантного приложения

0 голосов
/ 20 декабря 2018

Я зарегистрировал приложение в нашей Azure AD (AAD), которое поддерживает многопользовательский режим.Эта регистрация успешно зарегистрирована в другом (клиентском) клиенте AAD (дано согласие администратора).

Я использую .Net Core 2.1 и библиотеку MSAL 2.0 для аутентификации.

Мне нужнополучить доступ к клиентскому AAD с помощью Microsoft Graph из нашего приложения для управления, чтобы прочитать клиентские группы AAD, когда я вошел в систему с пользователем из исходного AAD (где была создана регистрация приложения).

Я следовалэтой статье https://docs.microsoft.com/en-us/graph/auth-v2-service и запросил токен от клиента AAD (шаг 4).Когда я использую этот токен для доступа к клиентским группам AAD, я получаю сообщение об ошибке отказа в доступе.

Когда я создаю регистрацию приложения без использования многопользовательского режима в клиентском клиенте AAD, все работает просто отлично.Разве это не возможно, чего я хочу достичь?Я думал, что я не единственный, кто хочет получить доступ к клиентской AAD из приложения управления, но я не могу найти другие статьи, описывающие эту проблему.

1 Ответ

0 голосов
/ 20 декабря 2018

Мне нужно получить доступ к клиентскому AAD с помощью Microsoft Graph из нашего приложения для управления, чтобы прочитать клиентские группы AAD, когда я вошел в систему с пользователем из исходного AAD (где была создана регистрация приложения).

Вы можете войти только с учетными записями в организации клиента AAD, вы не можете войти с пользователем из исходного AAD.Если вы не добавите пользователя из исходного AAD в клиент AAD.

Например, вы регистрируете приложение в AAD1, вы можете войти с учетными записями в AAD1, чтобы управлять ресурсом, который защищен AAD1;Если приложение является мультитенантным приложением, после предоставления разрешения в AAD2 пользователи в AAD2 могут войти в приложение со своими учетными записями, чтобы управлять ресурсом, который защищен AAD2.Если вы не добавили пользователя из исходного AAD в клиент AAD в качестве гостя.

Я следовал этой статье https://docs.microsoft.com/en-us/graph/auth-v2-service и запросил токен у клиента AAD (Шаг4).Когда я использую этот токен для доступа к клиентским группам AAD, я получаю сообщение об ошибке отказа в доступе.

Вы приобретаете токен, используя Поток учетных данных клиента с идентификатором приложения вместо пользователяидентичность.Вам следует использовать поток предоставления кода OAuth 2.0 , если вы хотите войти в приложение, используя идентификатор пользователя.

...