我们目前在AD Connect上使用带有联合用户签名(通过ADFS)和密码同步的AAD实例来同步AD和AAD用户帐户。门户网站上的登录名重定向到ADFS sts,并使用AD密码正确验证目录用户。
尝试使用令牌端点为Azure上注册的客户端应用程序实现针对AAD实例的资源所有者授予,这导致密码错误(尽管使用了正确的用户密码)
error_description“:”AADSTS70002:验证凭据时出错。 AADSTS50126:用户名或密码无效
POST to https://login.microsoftonline.com/<domain>/oauth2/token
client_id={registered app id on azure}
&client_secret={secret}
&scope=code
&username={AD user}
&password={AD password}
&grant_type=password
resource=https%3A%2F%2Fgraph.microsoft.com%2F
尝试更改Azure门户上的密码,令牌验证成功,直到再次从AD同步密码(启用密码写回);指示同步干扰密码的方式,以便在AAD上无法进行云身份验证。密码同步是否需要考虑使AAD云身份验证有效?
我们目前在AD Connect上使用带有联合用户签名(通过ADFS)和密码同步的AAD实例来同步AD和AAD用户帐户。门户网站上的登录名重定向到ADFS sts,并使用AD密码正确验证目录用户。
资源所有者密码授予流程对联合用户不起作用。它仅适用于没有MFA且密码未过期的纯云用户。