問題タブ [azure-ad-graph-api]

Azure AD PS モジュールの新しいプレビュー バージョンを使用しています。新しい AccessToken パラメータを介して接続しようとしています:

しかし、「予期しないエラー」が返されます。

Postman から Graph API を呼び出すために使用できるため、使用しているアクセス トークンが適切であることはわかっています。誰かがこれを機能させましたか？

編集: 反対票の理由はわかりませんが、宿題をしたことを示すために、PSモジュールが舞台裏で行っているリクエスト/レスポンスをFiddlerトレースでキャプチャしました. これには、「ユーザー ID ヘッダーが無効です」という役立つメッセージが含まれています。

リクエスト

応答

アクセストークンを取得する方法は次のとおりです。最終的に私の目標は Azure Automation からこれを実行することなので、クライアント資格情報フローを使用しています。

学習アプリケーションとして、この投稿で言及されているように、AngularJS、ADAL js、および WebAPI を使用しています。

Angularjs-authentication-using-azure-active-directory-authentication-library-adal

チュートリアルは、実装のために非常にきちんとしていてきれいです。認証後、Azure AD にユーザーを追加しようとしています [同じ AD に対して資格情報を検証しました]。

Azure AD を操作するには、ベアラー トークンが必要な Azure AD Graph API があります。

ベアラー トークンを取得するには、ベアラー トークンAuthorizationContextが使用されます。

認証コンテキストが制御されているため、ポップアップで資格情報を再度要求しています。しかし、私はすでに claimPrincipal を持っています。

ClaimPrincipal を使用して bearerToken を取得する方法はありますか?

私の Web サイトでは、GraphClient ライブラリ ( http://www.nuget.org/packages/Microsoft.Azure.ActiveDirectory.GraphClient ) を使用して Azure AD にクエリを実行しています。独自の資格情報と認証トークンを使用してgraph.windows.netにアクセスすると、これは正常に機能します。

ユーザーが自分の Web サイトにログインし、自分の Microsoft テナント アカウントを使用して認証するときに、Web サイトが (Web サーバーの) トークンではなく、そのユーザー トークンを使用して graph.windows.net にクエリを実行するように変更しようとしています。

OWIN ミドルウェア、Microsoft に対する OpenID を認証に使用し、最後に GraphClient を使用して AzureAD にクエリを実行しています。

現在、私のプロセスは OWIN Notifications => AuthorizationCodeReceived にあります。AcquireTokenByAuthorizationCode() を実行してユーザーの AccessToken を取得し、GraphClient に接続しようとします。

GraphClient は、チェックしたすべての呼び出しに対して常に「権限が不十分です」という応答を返します。しかし、graph.windows.net REST API への単純な HTTPClient 要求を作成し、上記の userAccessToken を使用して "Bearer" 承認ヘッダーを挿入すると、Graph API は有効な応答を返します。

単純な HTTPClient リクエストが正常に機能しているのに、GraphClient ライブラリが「不十分な権限」を返すのはなぜですか?

管理者以外のユーザーのパスワードをリセットできました。ただし、管理者ディレクトリ ロールを持つユーザーは対象外です。

文書化されているように試してみました: https://msdn.microsoft.com/Library/Azure/Ad/Graph/api/users-operations#ResetUserPassword

応答: コード: Authorization_RequestDenied メッセージ: 操作を完了するには権限が不十分です。

すべてのアプリケーションと委任されたアクセス許可 (ディレクトリ データの読み取りと書き込みなど) を使用して、AzureAD でアプリケーションを構成しました。

Google で調べて、関連する投稿を 1 つ見つけました: 最近アクセス許可の範囲が変更されましたhttp://blogs.msdn.com/b/aadgraphteam/archive/2015/10/06/new-graph-api-consent-permissions.aspx

Azure AD APP を使用して Office 365 でシングル サインオンを行うフロント エンド アプリケーションを構築しています。

OAuth 認証プロセスを使用してアクセス トークンを取得するには、リソース URI を渡す必要があります。

1. xyz.sharepoint.com -- SharePoint サイト コレクションとの統合
2. xyz-my.sharepoint.com -- OneDrive for Business との統合
3. outlook.office.com -- Outlook graph.windows.net との統合 --
4. graph.windows.net -- 検索にグラフ API を使用します。

ただし、シングル サインオン プロセスを完了するには、少なくとも電子メール ID が必要なユーザー プロファイル情報を取得する必要があります。フロント エンド アプリケーションで Onedrive for business と統合していました。

したがって、ユーザーの電子メールを取得するために、リソース xyz-my.sharepoint.com を使用してアクセス トークンを取得すると、この情報を取得できません。xyz.sharepoint.com または graph.windows.net を使用する必要があります。したがって、この要件では、2 つのリソースのアクセス トークンを取得する必要があります。これらのアクセス トークンをアクティブにするために、リフレッシュ トークンと共にこれらのアクセス トークンを維持する必要がありました。

すべての Office 365 サービスの OneDrive、カレンダー、メール、Outlook、Sharepoint で使用できるアクセス トークンを取得する他の方法はありますか?

よろしく、

API を使用して、所有している Azure AD ディレクトリの一覧を取得することはできますか? Azure AD Graph API にアクセスして、特定の各ディレクトリのユーザー/グループ情報を取得できますが、Azure サブスクリプションに関連付けられているすべてのディレクトリを一覧表示したいと考えています。

必要に応じて、各ディレクトリを個別にクエリすることもできます。可能な限りディレクトリをリストしたいだけです。しかし、ユーザー、グループ、およびディレクトリ ロールの出力を見ると、ディレクトリ オブジェクトの表示名を実際に示すプロパティはまだ確認できません。

ありがとう。

私が書いている MVC .net アプリケーションで問題が発生しています。ユーザーがログインできるように、内部 AD にリンクしています。しかし、azure のグラフ API を使用して Office 365 のパスワードをリセットできるようにしたいと考えています。内部 AD と Office 365 がリンクされておらず、追加した新しいコントローラーでゼロから接続を構築するのに役立つものを見つけるのに苦労しています。

コントローラーにあるコードは次のとおりです。

Azure AD スキーマ拡張/カスタム プロパティを初めて使用します。アプリケーションのカスタム アプリケーション プロパティがほとんどありません。カスタム プロパティを取得するには、グラフ API を呼び出す必要があります。カスタム プロパティをアクセス トークンに含める方法はありますか? トークンをデコードした後、Graph API を呼び出して毎回カスタム プロパティをフェッチする必要はありませんか?

ユーザーの認証に Azure AD を使用しています。アプリケーションに固有のユーザー クレームをいくつか追加したいと考えています。global.asax の Application_PostAuthenticateRequest` で行う必要がありますか? クレームもキャッシュできる方法はありますか?

Azure AD を介して Office365 ディレクトリに新しいユーザーを作成できる Web アプリケーションを構築しています。

ユーザーは匿名でサイトにアクセスしますが、サイトへのアクセスが許可されていることを確認するために、事前にトークンコードを取得します (直接交換)。ユーザーは、いくつかの連絡先情報 (名前、場所など)、トークン コードを入力し、フォームを送信すると、アプリによって新しいアカウントが作成されます。

問題: Office365 組織の AAD でオブジェクトを作成するための認証とアクセス許可が必要です。私はすでにアプリを登録しており、アカウントレベルで認証が機能しています。問題は、使用している MVC5 テンプレートでサービス間認証を開始する場所がわからないことです。

通常、Office365 グラフ API を介して事前共有シークレットを使用して Azure AD のトークンを要求し、その後の要求でこのトークンを使用すると思いますか?

誰かが共有できる例はありますか?