node.js - 仅在 Azure AD 登录上使用 GCP 自定义域时，GCP 和 Azure : AADSTS700016:You may have sent your authentication request to the wrong tenant. 错误

Question

我已经在 Google App Engine 上成功部署了 Node JS 应用程序，但是在部署并登录此 url https://mydomain-473829.uc.r.appspot.com 之后工作正常并登录，但是当使用我自定义子域时，如 https://api.mydomain.com ？

登录时出现此错误

AADSTS700016:在目录“directory-id”中找不到标识符为“guid”的应用程序。如果应用程序尚未由租户管理员安装或未得到租户中任何用户的同意，则可能会发生这种情况。您可能已将身份验证请求发送给了错误的租户。

深入挖掘:

• 这是 GCP 还是 Microsoft 方面的错误？
• 为什么一个 URL 工作正常，而其他 URL 无法到达正确的租户，通过此设置，它们是相同的端点:https://cloud.google.com/appengine/docs/legacy/standard/python/mapping-custom-domains
• 其他租户是否需要配置并允许访问我的 Multi-Tenancy 应用程序？目前它是唯一的单一租户应用程序？
• 是否需要更改任何代码？如果需要，我可以更新此问题？

感谢您的阅读

Answer 1

我尝试在我的环境中重现相同的情况，但得到了如下相同的错误:

AADSTS700016: Application with identifier 'guid' was not found in the directory 'directory-id'. This can happen if the application has not been installed by the administrator of the tenant or consented to by any user in the tenant. You may have sent your authentication request to the wrong tenant.

如果您在授权/身份验证请求中传递了错误的 client_id，通常会发生此错误。

确保在请求中传递 Azure AD 应用程序的 client_id。

• 另请确保您传递的 Azure AD 应用程序的 Tenant_ID 正确。
• 检查是否已授予应用程序所需的权限。

对于示例，我通过传递正确的client_id来使用以下授权端点，如下所示:

https://login.microsoftonline.com/TenantID/oauth2/v2.0/authorize?
&client_id=ClientID
&response_type=code
&redirect_uri=https://jwt.ms
&response_mode=query
&scope=https://graph.microsoft.com/.default
&state=12345

用户成功登录，如下所示:

• 错误出现在 Microsoft Azure 端。确保传递正确的值。

注意:如果您希望其他租户用户访问您的应用程序，请将 Azure AD 应用程序配置为 Multi-Tenancy 如下所示:

如果您将应用程序配置为 Multi-Tenancy ，那么您必须使用组织端点:

授权端点:https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize

token 端点:https://login.microsoftonline.com/organizations/oauth2/v2.0/token