如何在使用 Microsoft Entra ID (Azure AD) 登录期间授予同意
问题描述 投票:0回答:1
我刚刚开始使用 Azure AD (Microsoft Entra ID),所以这看起来像是一个菜鸟问题。
我有一个 Dot Net Core 7.0 Web API 应用程序,它公开了用于用户登录的 REST API。 我在 Azure AD 中有多个活动用户帐户,我想使用此 API 登录 AD。
为此,我使用 Nuget 包 Microsoft.IdentityModel.Clients.ActiveDirectory,版本 5.3.0。
这是我的登录代码:
string clientId = Configuration.GetSection("ClientId").Value;
string domain = Configuration.GetSection("TokenEndpoint").Value;
string[] scopes = { "User.ReadWrite.All" };
IPublicClientApplication app;
app = PublicClientApplicationBuilder.Create(clientId).WithAuthority(domain).Build();
try
{
var result = await app.AcquireTokenByUsernamePassword(scopes, userData.email, userData.Password).ExecuteAsync();
return result;
}
catch (MsalException ex)
{
Console.WriteLine(ex.Message);
Console.WriteLine(ex.StackTrace);
if(ex.InnerException != null){
Console.WriteLine(ex.InnerException.Message);
Console.WriteLine(ex.InnerException.StackTrace);
}
throw ex;
}
此代码正在重新调整以下错误:
{
"error":"invalid_grant",
"error_description":"AADSTS65001: The user or administrator has not consented to use the application with ID '******' named '******'. Send an interactive authorization request for this user and resource. Trace ID: ****** Correlation ID: ****** Timestamp: 2024-02-12 08:34:04Z",
"error_codes":[
65001
],
"timestamp":"2024-02-12 08:34:04Z",
"trace_id":"******",
"correlation_id":"******",
"suberror":"consent_required"
}
我在线检查了以下资源:
- https://learn.microsoft.com/en-us/answers/questions/545439/aadsts65001-the-user-or-administrator-has-not-cons
- AADSTS65001:用户或管理员未同意使用具有 ID 的应用程序
- InteractionRequiredAuthError:AADSTS65001:用户或管理员尚未同意使用具有 ID 的应用程序
- 代表用户获取令牌时出现“AADSTS65001:用户或管理员未同意使用该应用程序”
根据这些资源中提出的建议,我做了以下更改
- 在 Azure 门户 -> Azure Active Directory -> 应用程序注册 -> 您的应用程序 -> API 权限中,为 Microsoft Graph 添加适当的 API 权限(请参见下面的屏幕截图)
- 在 Azure 门户 -> Azure Active Directory -> 应用程序注册 -> 您的应用程序 -> 身份验证中,选择访问令牌和 ID 令牌(请参见下面的屏幕截图)
- 在 Azure 门户 -> Azure Active Directory -> 企业应用程序 -> 同意和权限 -> 用户同意设置中,选中允许用户同意应用程序(第三个选项)
- 在 Azure 门户 -> Azure Active Directory -> 企业应用程序 -> 用户设置中,将“用户可以同意应用程序代表他们访问公司数据”设置为是
您能否提供有关此错误的任何线索?
截图1
截图2
1个回答
0
投票
投票
请注意,Microsoft.IdentityModel.Clients.ActiveDirectory库调用目前已已弃用且不再受支持的 Azure AD Graph API,如果使用,会引发
错误。invalid_grant或者,您可以使用 Microsoft.Identity.Client 包来生成调用 Microsoft Graph API 的访问令牌。
就我而言,我注册了一个 Entra ID 应用程序并授予了 Delegate 类型的 User.ReadWrite.All 权限,如下所示:
为了通过用户名密码流程生成访问令牌,我运行了下面的示例 c# 代码安装
Microsoft.Identity.Clientusing Microsoft.Identity.Client;
namespace Sri
{
class Program
{
static async Task Main(string[] args)
{
string clientId = "appId";
string domain = "https://login.microsoftonline.com/tenantId/oauth2/v2.0/authorize";
string[] scopes = { "User.ReadWrite.All" };
IPublicClientApplication app;
app = PublicClientApplicationBuilder.Create(clientId).WithAuthority(domain).Build();
try
{
UserData userData = new UserData { email = "[email protected]", Password = "xxxxxxxxx" };
var result = await app.AcquireTokenByUsernamePassword(scopes, userData.email, userData.Password).ExecuteAsync();
Console.WriteLine("Token acquired successfully.");
Console.WriteLine($"Access Token: {result.AccessToken}");
}
catch (MsalException ex)
{
Console.WriteLine(ex.Message);
Console.WriteLine(ex.StackTrace);
if (ex.InnerException != null)
{
Console.WriteLine(ex.InnerException.Message);
Console.WriteLine(ex.InnerException.StackTrace);
}
throw ex;
}
}
}
public class UserData
{
public string email { get; set; }
public string Password { get; set; }
}
}
回复:
为了确认这一点,您可以通过将其粘贴到 jwt.ms 网站来解码,并检查
audscp
现在,您可以使用此令牌调用 Microsoft Graph API 请求,例如列出、创建、更新和删除 Azure AD 用户。
最新问题
- 连续运行两个终极线程组
- 有没有办法在代码中覆盖 Kedro 数据集查询?
- 找不到 Chromecast 序列号来注册我的设备
- 基于 EVE-NG QEMU 的节点未启动
- del 操作在 .py 文件中非常慢,而在 .ipynb 文件中则非常快
- 我需要返回 Sheet1 到 Sheet2 中每个行项目的季度总和和年初至今总和
- iOS React Native 中自动填充 OTP
- C# - 有没有办法在 Linux 上临时保护文件不被删除?
- Docker 登录未使用正确的端口
- 3.3 后与 2.2 后的不同结果
- 如何接受或关闭cookie弹出窗口,因为此弹出窗口没有关闭/接受/拒绝的按钮?
- Expo 更新无法在 Windows 上运行 Android 构建
- 我需要帮助了解此解决方案中如何考虑所有子数组
- 栏中间文字自动调整
- Spring Data REST 支持反应式增删改查存储库吗?
- 使用 Selenium 和 Python 单击按钮,直到不再存在
- 正确更新 mutablestate uistate 以设置视图模型中的当前选定项
- Powerbi 生成错误的总数(MAX 的替代方案)
- 如何在Fedora 37上安装dart sass?
- 是否可以在.Net 6 Worker Service中捕获OnSessionChange?
© www.soinside.com 2019 - 2024. All rights reserved.