个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我们使用 Azure Active Directory 来保护我们的 Azure 托管 API。这些 API 由 Azure 托管的 Angular 应用程序使用。 Mocst 的 API 是作为 ASP.NET WebAPI 实现的,其中一些现在是使用 Azure Functions 实现的。
过去几年我们一直以这种方式保护我们的应用程序,没有遇到任何问题。我们已经通过将一个应用程序添加到允许的受众来根据另一个应用程序的 token 授予对另一个应用程序的访问权限,效果很好。目前,我们在实现新场景时遇到了问题。
问题
我们有两个应用程序:当前应用程序 (cur) 和目标应用程序 (tar)。我们所有的用户都可以登录cur。 cur 的后端根据用户获取的 cur token 获取访问 tar 的 token 。这适用于由 Azure Active Directory(我们的或联合的)支持的用户。一旦用户登录不受 Azure Active Directory 支持(这意味着他们由 Microsoft 帐户支持),获取 tar 的 token 就会失败,并显示 AADSTS50000: There was an error issuing a token 。
上下文
我们的应用程序托管在与我们的用户和应用程序注册的地方不同的 AAD 租户中。用户和应用注册位于同一个 AAD 租户中。我们认为这不是问题,因为配置适用于 AAD 支持的帐户。
我们使用 AuthenticationContext.AcquireTokenAsync(String, ClientCredential, UserAssertion) 获取 token 来访问带有以下参数的 tar:
我们发现 AAD 支持的帐户和 Microsoft 帐户支持的帐户的原始 token 之间存在一个主要区别:IDP (IdentityProvider) 字段不同。对于 Microsoft 帐户支持的帐户,IDP 为 live.com 。对于 AAD 支持的帐户,这是 https://sts.windows.net/<guid> 。
我们在 AAD 和外部帐户中创建了多个测试帐户,以确保这不是与我们现有用户帐户相关的问题。对 AuthenticationContext 或 ClientCredential 使用不同的配置并不能解决问题。
有什么想法吗?
最佳答案
邀请用户作为访客可以,但如果这不是一个实际的选择,您需要在应用/服务中添加对 MSA 帐户的支持。这可以通过 Azure AD v2.0 端点实现。
文档Comparing the Azure AD v2.0 endpoint with the v1.0 endpoint在开始进行更改之前,您需要了解许多详细信息。
尝试 Azure Active Directory code samples (v2.0 endpoint) 中提供的一些示例以获得良好的理解。
您将进行的更改的简短摘要
关于azure - AAD AcquireToken 返回错误 AADSTS50000,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53830555/
24
4
0
来自他们的文档 - https://learn.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-pta-how-it-
AAD 管理角色只能直接分配给用户。无法通过 AAD 组分配它们。 现在 PIM 中有一个“特权访问组(预览)” Pane ,但我找不到任何方法在 Azure AD 组管理中启用角色可分配组。因此,P
AAD 应用程序需要哪些 OAuth API 和权限,以便我可以使用它来授权创建新的 AAD 应用程序,如本 example 中所述。 最佳答案 您可以在 Azure AD Graph API 上向应
我正在配置一堆 Azure Active Directory (AAD) 应用程序,并希望同一组用户成为所有应用程序的所有者。我创建了一个 AAD 组来放置这些用户,但是当我尝试将该组分配为所有者时,
AAD 应用程序需要哪些 OAuth API 和权限,以便我可以使用它来授权创建新的 AAD 应用程序,如本 example 中所述。 最佳答案 您可以在 Azure AD Graph API 上向应
我正在配置一堆 Azure Active Directory (AAD) 应用程序,并希望同一组用户成为所有应用程序的所有者。我创建了一个 AAD 组来放置这些用户,但是当我尝试将该组分配为所有者时,
需要将用户的照片持续同步(不仅仅是一次)到 AD 环境中,然后同步到 Azure AD 中。根据下面的文章,该属性仅在初始同步时同步一次。当有人获得新徽章时,我们的安全小组会更新这些照片,然后我们会更
我们有一个 Office 365 租户,用于为我们的组织提供基本 AD 功能(加入桌面 PC、身份验证等)。 我们还在构建一个独立的移动和网络应用程序。我们有一个与我们的主要 AAD 租户绑定(bin
有人可以帮我解决以下问题吗?提前致谢 我在实验室中设置 AD Connect,并且我的实验室 Active Directory 用户可以正常同步到我的实验室 Azure AD 然后,我第二次通过 Az
我们有一个 Office 365 租户,用于为我们的组织提供基本 AD 功能(加入桌面 PC、身份验证等)。 我们还在构建一个独立的移动和网络应用程序。我们有一个与我们的主要 AAD 租户绑定(bin
有人可以帮我解决以下问题吗?提前致谢 我在实验室中设置 AD Connect,并且我的实验室 Active Directory 用户可以正常同步到我的实验室 Azure AD 然后,我第二次通过 Az
我希望我们的团队在配置与生产 AAD 非常接近的开发 AAD 中完成所有开发工作。这样,我们的工作就不需要更改为在生产环境中工作。 目前我们的团队拥有: 生产 AAD 租户具有: 生产订阅 开发订阅;
使用 Confluence 和 Azure AAD 对 SCIM 实现进行测试,并使用 OIDC 进行身份验证,并遇到以下问题: 如果从 Confluence 中手动删除 SCIM 配置帐户,Azur
使用 Node.js 的 Microsoft MSAL 快速入门的修改版本(原始 here ),我使用隐式流成功接收了 Azure 存储 API 的访问 token 。该 token 包含组声明,但声
我想在遥测中记录以下内容以用于诊断和使用目的: Azure 订阅 ID AAD 租户 ID AAD 应用客户端 ID 我应该将它们视为 secret /PII 并对它们进行哈希/加密吗? (不用说,我
场景: 用户使用域帐户登录桌面 用户在 AAD 中拥有一个与域帐户不同的 Azure 帐户 为 Azure 帐户配置了 AAD 身份验证的 Azure SQL 数据库 用户如何使用 SQL Serve
场景: 用户使用域帐户登录桌面 用户在 AAD 中拥有一个与域帐户不同的 Azure 帐户 为 Azure 帐户配置了 AAD 身份验证的 Azure SQL 数据库 用户如何使用 SQL Serve
我创建了一个使用 Azure Active Directory 保护的 WebAPI。我现在需要对此进行测试并尝试将 fiddler 与授权 header 一起使用。我正在尝试使用以下代码生成 tok
使用 API Graph,我创建了一个包含电子邮件地址的 ADD 组。该地址的域会自动添加到租户中的主要域中。我无法更改租户上的默认域,但我需要将创建的组的域更改为主域以外的域。我怎样才能实现这个目标
我有几个 API(“A 组和 B 组”),它们调用一个中央 API(“API X”)。全部通过 Azure AD 进行身份验证。 在“API X”中,我想将几个路由限制为可用路由的子集。 /api
我是一名优秀的程序员,十分优秀!