使用 AzureAD 进行 Blazor 身份验证 - 适用于任何组织目录中的帐户
问题描述 投票:0回答:1
我正在尝试设置 Blazor Wasm 应用程序,以便能够从任何组织目录对用户进行身份验证。但是,当用户尝试登录时,如果电子邮件不在 Azure Entra ID 目录的用户列表中,他们会收到错误消息。
这是在program.cs中的调用方式:
builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddMicrosoftIdentityWebApi(builder.Configuration.GetSection("AzureAd"));
这是appsettings.json。我已经尝试过组织和通用的 TenantId 值。
{
"AzureAd": {
"Instance": "https://login.microsoftonline.com",
"Domain": "mydomain.onmicrosoft.com",
"TenantId": "organizations",
"ClientId": "myclientid012345678",
"Scopes": "access_as_user",
"CallbackPath": "/signin-oidc"
}
}
支持的账户类型有: 任何组织目录中的帐户(任何 Microsoft Entra ID 租户 - 多租户)
1个回答
投票
AADSTS50020:来自身份提供商“https://sts.windows.net/xxx/”的用户帐户“[电子邮件受保护]”在租户“Contoso”中不存在,并且无法访问应用程序“xxx”(ClientAppRuk)在那个租客里。需要先将该账户添加为租户中的外部用户。
最初我遇到了同样的错误:
如果 Microsoft Entra ID 应用程序未配置为 “任何组织目录中的帐户(任何 Microsoft Entra ID 租户 - 多租户)” 以允许其他租户用户访问,通常会发生此错误。
- 在代码中,您需要将 TenantId 传递为
.organizations - 并确保将 Authority 传递为
。https://login.microsoftonline.com/organizations
我创建了
ServerAppRuk
创建
ClientAppRuk
对于这两个应用程序,请确保选择 “任何组织目录中的帐户(任何 Microsoft Entra ID 租户 - 多租户)” 选项:
要解决该错误,请确保将 Authority 作为
https://login.microsoftonline.com/organizations客户端应用程序
appsettings.json "AzureAd": {
"Authority": "https://login.microsoftonline.com/organizations",
"ClientId": "ClientAppID",
"ValidateAuthority": true
}
}
并确保服务器应用程序
appsettings.json{
"AzureAd": {
"Instance": "https://login.microsoftonline.com/",
"Domain": "XXX.onmicrosoft.com",
"TenantId": "organizations",
"ClientId": "ServerAppID",
"CallbackPath": "RedirectURL",
"Scopes": "access_as_user"
},
"Logging": {
"LogLevel": {
"Default": "Information",
"Microsoft.AspNetCore": "Warning"
}
},
"AllowedHosts": "*"
}
确保在服务器应用程序中添加客户端应用程序配置,如下所示:
传递客户端应用程序的ClientID
完成上述设置后,我可以使用另一个租户用户成功登录应用程序了:
参考资料:
客户端应用程序配置 (MSAL) - Microsoft 身份平台 |微软
使用 Microsoft Entra ID 保护托管 ASP.NET Core Blazor WebAssembly 应用程序 |微软
最新问题
- 如何从 FDataGrid 实例中删除某些功能?
- JPA Native Query with Timestamp with LocalDateTime.now() 写入(更新),然后选择刚刚修改的相同记录
- CloudKit - 获取所有数据后收到通知
- React 状态总是回到初始值或者总是创建类的新实例
- 将绘图对象保存为PNG
- 如何在不创建virtualenv的情况下pip安装Pipfile编写的包?
- 如何使用Like函数VBA?
- 有效的 Azure Blob 元数据标识符
- 如何在 Visual Studio 中更改 Azure 数据库表的列顺序
- BigQuery SELECT PARTITIONED 列上每个月的最后一天
- 限制 Sendgrid 中的 API 密钥可以使用的发件人
- laravel 和 vue.js 之间惯性通信时间的最佳方式
- C# 可以存储比双精度数更精确的数据吗?
- 如何使用NestJS和Nginx提供静态资源
- 如何在 AWS CloudShell 中获取用户(我的)公共 IP 地址?
- WSO2 Api 管理器 - 沙盒/生产密钥
- SQL 异常截断字符串或二进制数据的奇怪问题
- 在 laravel 10 中使用自定义分页调用成员函数 links() 时出现数组错误
- Rust 中的自定义缓存对齐
- 当 Hashicorp Vault 中的密钥更新时如何重新启动 Kubernetes pod?