問題タブ [azure-active-directory]

Azure Active Directory アカウントにドメイン名を追加しましたが、ドメイン名が検証されていないと表示されます。

ドメイン名を確認するために、「デフォルト ディレクトリ」に移動して「ドメイン」タブに移動すると、whatevery.com ドメイン名が一覧表示されます。それをクリックして強調表示し、下部のバーにある [検証] ボタンをクリックすると、[シングル サインオン用にドメインを構成する] ボックスがポップアップ表示され、[ディレクトリ統合] ページに移動してすべての手順を完了するように指示されます... " 今すぐディレクトリ統合ページに移動するように求めるチェックボックスもあります。右下のチェックボタンを除いて、それだけです。

私が持っている唯一のオプションは、ドメイン名の確認に関して、Azure Portal 内で見ているものを必ずしも反映していない他の Web ページを指すヘルプ トピックと共に、ディレクトリ統合ページに送信することです。

既に購入したドメイン名で TXT レコードを作成する必要があることを理解しています。他のスクリーンショットから、Azure (どこか) 内で「MS=xxxxxx」という値を持つ値を見つける必要があることがわかりますが、その価値をどこから得るかは難しいことが証明されています。

私はこれのために間違った場所を探していますか?

PowerShell を使用して、Azure に新しい Active Directory を作成したいと考えています。

これを行うコマンドレットを知っていますか?

ありがとうございました ！

Azure AD アプリケーションで oauth client_credentials 付与が許可されないのはなぜですか?

Azure Graph API を使用したいのですが、まず oauth トークンが必要です。トークンを取得するために、Microsoft.IdentityModel.Clients.ActiveDirectory 別名 ADAL バージョン 1.0.3 (NuGet から) を使用しようとしています。

ClientCredential オブジェクトを取る AuthenticationContext.AcquireToken のオーバーロードを使用しています。（アプリではなくサービスを作成しているため、ユーザーにログインを促すオーバーロードは使用できません。）

さまざまなチュートリアル/サンプル ( ADAL - Server to Server Authenticationなど)で説明されているように、Azure AD Web アプリケーションを構成しました。

私のコードは次のようになります:

このAcquireToken行は例外をスローします:

内部例外は WebException であり、受信した応答は oauth エラーのように見えます。

ADAL をバイパスし、oauth エンドポイントで curl を使用しても、同じエラーが発生します。

ここで見つけた Azure アプリケーションの詳細を使用すると、私のコードは機能します。

したがって、私のコードのエラーではありません。Azure AD のエラーか、ClientCredential パラメーターが間違っていると思います。

カスタム ドメインで構成され、フェデレーション認証用のオンプレミス ADFS (2.0) サーバーにリンクされた Windows Azure Active Directory があります。

クリーンなブラウザー セッションでhttps://manage.windowsazure.netにアクセスすると、 https://login.microsoft.online.comから電子メール アドレスだけを求められます。これは、組織アカウントと Microsoft アカウントのどちらを要求するかを尋ねます。組織アカウントを選択すると、ADFS サーバーにリダイレクトされます。すべて問題ありません。

一方、ADAL を使用する独自の ASP.NET MVC アプリケーションでは、ログイン ページ (再度 login.microsoftonline.com) にユーザー名とパスワードの両方のボックスが表示されます。ユーザー名を入力してからパスワード ボックスにフォーカスすると、その時点で ADFS にリダイレクトされます。

これはユーザー エクスペリエンスをかなり混乱させる可能性があります。多くの場合、リダイレクトが発生するまでにパスワードの入力を開始し、Enter キーを押すと、もちろん認証エラーが発生します。

おそらく、この画面記録のより良いデモ: http://www.youtube.com/watch?v=hZYPltSmcn8&feature=youtu.be

ユーザー名 + パスワードではなく、ユーザー名のみのページを使用する方法はありますか? WAAD ページをスキップして ADFS に直接リダイレクトする方法はありますか? （とにかく、すべてのユーザーがSSOにそれを使用するためです。）

Windows Azure Active Directory を使用して WebAPI を保護しています。しかし問題は、使用可能なアプリケーションのリストに自分のアプリケーションが表示されないことです。

再現する手順：

1. 組織認証オプションを使用して新しい MVC WebAPI プロジェクトを作成します。Azure ドメインを指定し、正常にログインします。プロジェクトが作成されました！
2. Azure 管理ポータル -> Active Directory -> 特定のドメイン -> アプリケーションに移動します。新しく作成した WebAPI アプリケーションがリストに表示されます。
3. 新しいアプリケーションを Active Directory に追加します (ネイティブと Web サイトの両方を試しました)。名前、リダイレクト URL などのすべての必須フィールドを指定し、構成に移動します。
4. アプリケーション構成ページで、他の Web API へのアクセスを許可してみてください。しかし、私の WebAPI アプリケーション (ステップ 1 で作成され、ステップ 2 のアプリケーションのリストで検証されたもの) は、使用可能な WebAPI のリストにありません。実際に利用できるオプションは 2 つだけです。a) Windows Azure Active Directory。2) Windows Azure サービス管理 API ;

Office 365 AD を Windows Azure のVMに同期して、VM を介したユーザー認証を有効にできるかどうかを知りたいです。

VM には AD がまったく設定されていないことに注意してください。

もし可能でしたら、どのようにすればよいか、ご教示いただけないでしょうか。

ありがとう、マオズ

新しい Office 365 API ツール プレビューを試していたところ、Windows 8 アプリで Web 認証ブローカーを開くと常にエラーが発生します。アプリを初めて使用したときはログインできましたが、それ以降、サインインする前にこのエラーが表示されます。以下のエラーのスクリーンショットを参照してください (背景が白くなっています)。

Web 認証ブローカー画面のメッセージ:

ブローカーの戻るボタンをクリックすると、2 番目のエラー メッセージが表示されます。

「サインアウト」ボタンをクリックしても何も起こりません。また、すべてのキャッシュをクリアし、他のすべてのブラウザー セッションを閉じてみました。初めてログインが機能したので、アプリケーションが適切に構成されていることがわかります。どういうわけか悪い状態になり、無効なものをキャッシュして、ログインページに正しく移動できなくなったかのようです。

最後のメモは、新しい Windows 8 アプリを作成し、SharePoint アクセスを使用して接続されたサービスの参照を追加する以外に、このプロジェクトに対して行った唯一のことは、開始ページを次のように変更することでした。

アプリを元の状態にリセットするためにクリアできるものはありますか? または誰かがこのエラーの解決策を知っていますか? 私が開発している他のアプリで以前に見たことがありますが、それは一時的なものであり、この場合は何度も発生しています.

アップデート：

さらに開発時間が経過した後、私が取り組んでいる別のアプリケーションで同じ問題を実際に見ました。デバッグ用のビルド、リリース用のビルド、クリーン ソリューション、キャッシュのクリアなどに関係なく、WebAuthenticationBroker が失敗するのと同じことです。この 2 番目の無関係なプロジェクトでは、Office365 Api ツールを使用しておらず、新しい Azure Active Directory ライブラリを使用していませんでした。 Office365 api ツールのサンプル コードで使用される AuthorizationContext クラス。WebAuthenticationBroker.authenticateAsync メソッドを直接使用します。これは、Office ツールや AAD ライブラリとは関係のない、より低レベルの何かが問題の原因である可能性が高いことを意味します。さらに、WebAuthenticationBroker は引き続き失敗しますが、ブラウザーを使用して同じサービスを介して認証することができます。実際のネットワークでも問題になるほど低くはありません。この問題は、数分または 1 時間のさまざまな期間続くようで、次にアプリケーションを実行すると、魔法のように期待どおりに動作します。

アクセス トークンを認証して取得できなければリクエストを行うことができないため、これは開発の大きな障害となります。エラーがどれほど重大で、この問題について不満を言う人が他にいないことを考えると、おそらく環境問題でしょうか? この問題を断続的に引き起こす設定はありますか?

Microsoft Azure ActiveDirectory から、次のようなエンドポイント (OAuth2)refresh_tokenへの要求を含む応答を受け取りました。/token

どうやらrefresh_token有効期限がなく、新しいが必要なときに何度でも使用できますが、それaccess_tokenは正しいですか?

また、何id_tokenのためですか？

Azure Active Directory と DirSync を実行しているオンプレミス サーバーを使用してユーザーの詳細を同期する、Azure のテスト アプリケーションで動作するシングル サインオンがあります。

カスタム ドメインを追加し、レジストラの Web サイトの DNS エントリに TXT レコードを追加して検証しました。これを行うために、「ローカル Active Directory でシングル サインオン用にこのドメインを構成する予定です」というオプションのチェックを外す必要があるというアドバイス (stackoverflow の質問から) に従いました。ドメインの所有権を証明できる情報。

その結果、ドメインは検証され、Azure はこれを認識し、ドメインが「検証済み」であることを確認できますが、このカスタム ドメインのシングル サインオンの値は「計画外」に設定されています。

問題は、ユーザーにログインを使用するように指示する必要がないため、そのチェックボックスを再度オンにして、このドメインをシングルサインオンで使用できるようにしたいことです。メールアドレスは「username@something. onmicrosoft.com ' 彼らはそれを取得することはなく、私にそれを変更するようせがむでしょう.

ですから、私の質問は次のとおりです。このボックスに再度チェックを入れて、このフィールドのステータスを「未計画」から変更し、(できれば) ユーザーが username@domain を使用してサインインできるようにする方法はありますか?コム？

ドメインを削除して再度追加しようとしましたが、残りのプロセスで既に十分に使用されている可能性があるため、Azure によって削除が阻止されます。また、Azure 内のこのカスタム ドメインに戻って変更することもできません (少なくともそのように思われます)。

更新: ディレクトリ統合ディレクトリ同期を非アクティブ化しようとしました。これにより、同期されたユーザーの電子メール アドレスを調整できますが、同期が再度アクティブ化されると、.onmicrosoft.com に戻されます。

更新 2: PowerShell をインストールして、カスタム ドメインをリモートで管理してアクティブにしようとしましたが、数時間試行しても接続できません。