ASP. NET Core 3.1 + Azure Аутентификация AD - Как раскрыть «скрытую электронную почту»

Question

У меня есть ASP. NET Core MVC веб-приложение, использующее Azure AD в качестве метода аутентификации.

Когда кто-то, не назначенный этому приложению, пытается войти в систему, ошибка "Message contains error: 'access_denied', error_description: 'AADSTS50105: The signed in user '**{EmailHidden}**' is not assigned to a role for the application (...)" генерируется.

В контексте OpenIdConnectEvents.OnRemoteFailure я хотел бы иметь возможность получить доступ к реальному значению {EmailHidden} , чтобы улучшить ведение журнала неавторизованного доступа

Я уже пытался настроить IdentityModelEventSource.ShowPII = true в методе приложения ConfigureServices. Это решило другую подобную проблему, но не эту.

Любая идея / предложение? Спасибо.

Answer 1

Эта ошибка обычно возникает, когда часть корпоративного приложения (или субъект-служба) зарегистрированного приложения имеет настройку User Assignment Required, установленную на Yes.

Чтобы обойти эту проблему, выполните следующие действия:

1. Измените User assignment required на No и сохраните изменение.
2. Go обратно в приложение Зарегистрируйте портал и выполните Granting Admin consent to the application. Это должно сработать на этот раз.
3. Установите User assignment required снова на Да.