問題タブ [azure-ad-graph-api]

ユーザーに代わってAzureアプリケーションを登録する必要があります。Azure Graph API を使用して、次のアクションを実行しました。

1. 必要なリソースを使用してアプリケーションを作成する
2. 登録済みアプリのサービス プリンシパルを作成する
3. 必要なスコープを持つサービス プリンシパルのOAuth2PermissionGrant エンティティを作成する

その後、作成したuppのaccess_tokenの取得に成功しました。しかし残念ながら、そのトークンで O365 リソースにアクセスしようとすると、401 Unauthorized が返されました。JSON化されたエラーなし!!

HTTP/1.1 401 Unauthorized
Cache-Control: no-cache
プラグマ: no-cache
Content-Length: 0
Expires: -1
Server: Microsoft-IIS/8.5
Server: Microsoft-IIS/8.5
WWW-Authenticate: Bearer
X-AspNet-Version : 4.0.30319
X-Powered-By: ASP.NET
X-Powered-By: ASP.NET
日付: 2015 年 12 月 10 日 (木) 11:58:59 GMT

... それでおしまい！

次に Azure portal に移動しましたが、すべて問題ありませんでした。いくつかの実験の後、ポータルを介した変更後 (表面的なものであっても)、access_token が有効になることに気付きました。

そこで、JWT デコーダーを使用してトークンを比較したところ、スコープが含まれていないことがわかりました。

画像 - ポータルでの変更前のトークン

画像 - ポータルの変更後のトークン

また、変更後に OAuth2PermissionGrant エンティティが上書きされていることに気付きました。

次の Web リソースとライブラリを使用しました。

1. 承認用ライブラリ:ADAL
2. グラフ API にアクセスするためのライブラリ: www.nuget.org/packages/Microsoft.Azure.ActiveDirectory.GraphClient
3. GraphClient の例の完全なリストは、github.com/Azure-Samples/active-directory-dotnet-graphapi-console/blob/master/GraphConsoleAppV3/Program.cs にあります。

以下に、プログラムでアプリを作成するコードを添付しました。また、フィドラーのログやその他の情報を添付することもできます。

ユーザーを取得しようとすると、ユーザーのマネージャー オブジェクトが常に null になります。しかし、対応するマネージャー (ユーザー) GUID である「objectId」を取得します。この GUID を使用して、API 呼び出しまたはhttps://graphexplorer.cloudapp.netから Manager を取得できますが、C# を使用するグラフ クライアントから取得することはできません (バージョン 2.1.0 の場合でも: https://www.nuget.org/packages/Microsoft)。 .Azure.ActiveDirectory.GraphClient )。

誰かがこれについて私を案内できますか? 前もって感謝します。

Azure Active Directory テナントを Graph API と共に使用して、groupclaims オブジェクト ID を取得しています。ただし、実行時に禁止エラーで失敗しています。

別の Azure Active Directory テナント (ほぼ 4 か月前に作成されたもの) で同じコードを使用しましたが、完全に機能しています。同上に従って、新しい Azure Active Direct テナントを作成し、Azure 管理ポータルで構成の詳細を再確認しました。

同じ手順で新しいAzure Active Directoryテナントを何度も作成しましたが、それでも禁止エラーが発生します。

一般に、Forbidden エラーはサーバーのアクセス許可がないことが原因ですが、別の Active Directory テナントは完全に機能しています (これも 4 か月前に私が作成したものです)。動作中の AAD テナントと新しく作成されたテナントの間で構成の変更はありません。

1. AAD の作成に最近の変更はありますか?
2. Microsoft Active Directory を使用しています。サーバー側で MSIT チームからの構成の更新が必要ですか?

手順に従いました: https://github.com/Azure-Samples/active-directory-dotnet-webapp-groupclaims

誰かがこの問題を解決するのを手伝ってくれませんか。

ありがとう、

プラディープ

「Azure AD Reporting API PowerShell の概要」の例を使用して、nextLink を利用して日付範囲内のすべてのデータを取得するための追加の手順をいくつか使用しています。データは一貫して戻ってきて、最も古い 24 時間分のログが欠落しています。ポータルを介して、またはクエリの日付範囲を拡張することで、ログが存在することを確認できます (その範囲の最も古い 24 時間を除くすべてが返されます)。

リクエストの例:

独自の投稿の価値があるかどうかはわかりませんが、クエリは updatedProperties のデータも返しません。これらの問題のいずれかをテナントで機能させることができる人はいますか?

Azure Active Directory アプリケーション (および関連するサービス プリンシパル) があります。そのサービス プリンシパルは、Azure Active Directory グループのメンバーを追加および削除できる必要があります...そのため、アプリケーションのアクセス許可の下にディレクトリ データの読み取りと書き込みを追加しました。

また、クライアント ID とクライアント シークレットを使用して認証トークンを取得し、Azure Graph API を使用してこれらの操作を実行するコードがあります。

ただし、この許可は広すぎます。アプリケーション/サービス プリンシパルには、特定のグループ (すべてではない) のメンバーを追加および削除する機能のみが必要です...他の種類の操作を実行する機能は必要ありません。

これを行う方法はありますか？

ありがとうございました。