問題タブ [passport-azure-ad]

Azure-AD OpenId Connect ログインでエラーが発生した理由についてのログはどこにありますか?

Portal.Azure.com -> Azure AD -> App Registrations の下にアプリケーションを作成しました。

そして、同じ場所「キー」の下に、前述のアプリケーションのキーを作成しました。

Passport-azure-ad を使用してエンドポイントへの認証を試みており、ほとんどが機能していますが、何が間違っているのかを理解するには、サーバー側のログの詳細をさらに追加する必要があると思います。

現在、アプリケーションによって次の場所に正常にリダイレクトされ、ログインのオプションが表示されます: https://login.microsoftonline.com/common/oauth2/v2.0/authorize

ログインに成功すると、次のようになります。

悪いことの詳細を教えてくれるログがどこかにあるはずだと思います。

** 免責事項 -- 私は oAuth と OpenIDConnect の世界に不慣れです -- ここでばかげた質問をしている場合は、しばらくお待ちください。

API からデータを要求する SPA を作成したいと考えています。SPA と API はどちらも同じ nodejs サーバーでホストされています。データやアプリにアクセスするすべての人が、Office365 の AzureAD テナントで認証されるようにしたいと考えています。

現在、passport-azure-ad.OIDCStrategy を使用して認証部分が機能しています。ただし、私のアプリでは、サーバー側の API コードで Microsoft GRAPH API からの情報にもアクセスできるようにしたいと考えています。しかし、既に作成した OIDC 接続では、GRAPH API にアクセスするには十分ではないようです。おそらく、jwt ベアラー トークンが必要なようです。

私の質問は、OIDC 応答からのアクセス トークンを使用してベアラー トークンを取得する必要があるかどうかです。もしそうなら、どうすればいいですか（サーバー側 - nodejs）？

BearerStrategy v2 エンドポイントについて、passport-auth-ad に記載されている例を表示してみました。しかし、私を混乱させているのは、それが OIDCStrategy を使用していることです! それもベアラートークンを返しますか？もしそうなら、私は最初の OIDCStrategy 呼び出しで必要なものをすべて受け取っていますか?

あなたが提供できるどんな助けにも感謝します!

アップデート

エラーメッセージ：

トークンは、Azure からの認証コールバックで id_token として渡されたものと同じトークンであることを確認しました。何かご意見は？

更新 2

私が間違っている可能性がある場所を診断するのに役立ついくつかのコードスニペット。

戦略構成

ルート定義

この質問は、 passport-azure-ad に関連しています。トークンを解析して検証しますか?

私は、passport-azure-ad モジュールを使用してマスターしようとしました。OpenID Connect を使用してユーザーに正常にログインし、access_token を取得して、REST API によって保護されている REST API を直接使用します。app.get('myapi',passport.authenticate('oath-bearer', {failureRedirect: '/'}), function(req,res){});

ただし、OpenID 接続によって作成されたセッションからログアウトしようとすると、トークンは有効期限が切れるまで (通常は 3600 秒) 有効です。

Microsoft の API ゲートウェイの背後でホストされていないエンドポイントを保護するために access_token を使用しているため、access_token の取り消しは簡単ではないと思います。

Passport-azure-ad を使用して access_token が取り消されているかどうかを確認する方法はありますか? ベストプラクティスは何ですか?

passport-azure-adこのリファレンスhttps://docs.microsoft.com/en-us/azure/active-directory/active-directory-v2-devquickstarts-node-webを使用して、統合アプリ認証のモデルを実装しました。これは私のコードです：

次のように関数azureOauthVerifyを登録しました。passport-azure-ad

問題は、Chrome を使用しているすべてのユーザーが適切にログインできることですが、Office メールを使用している一部のユーザー (全員ではない) が Internet Explorer でログインできないことです。

問題をデバッグしたところ、アクセス トークンが から受信されていないことがわかりましたAZURE_ENDPOINT。つまり、/azure/callbackが呼び出されましたが、パスポートに登録されている関数 が呼び出されてazureOauthVerifyいません。

ここで何が間違っていますか？

OIDCStrategy でノード js パスポート azure-ad を使用しています。

グループからユーザーを削除すると、コードにリフレーションが発生しません

削除されたグループを含むすべてのグループを返します。

しかし、試して再起動すると、ノードjsサーバーグループが削除されました。

ノードjsサーバーを再起動せずにグループを強制的に更新するにはどうすればよいですか? これはトークンのキャッシュによるものですか? Passport-azure-ad でトークンを更新するにはどうすればよいですか。

Passport-azure-ad でトークンを更新する方法を検索しようとしましたが、これに関連するものは見つかりませんでした。