azure - Microsoft Graph - 使用应用程序 token 获取 MemberOf 错误-6ren

azure - Microsoft Graph - 使用应用程序 token 获取 MemberOf 错误

转载作者：行者123 更新时间：2023-12-03 05:37:15

25

4

我正在尝试使用以下端点访问 Microsoft Graph API 来查询用户所属组的列表

https://graph.microsoft.com/v1.0/users/{userID}/memberOf

但是自过去两天以来，我的查询失败，响应如下

{   error: {
    code: 'Authorization_RequestDenied',
    message: 'Insufficient privileges to complete the operation.',
    innerError: {
      'request-id': '7d8a5602-19ca-4cc7-a84d-60cc0c9c09d5',
      date: '2020-04-28T11:44:24'
    }   } }

我已经获得了管理员所需的权限和权限，我授予的访问权限包括

Directory.Read.All
Directory.ReadWrite.All
Group.Read.All

正如微软文档中所述:https://learn.microsoft.com/en-us/graph/api/user-list-memberof?view=graph-rest-1.0&tabs=http

按照本文档 https://learn.microsoft.com/en-us/graph/auth-v2-service 使用访问 token 的授权 header (来自服务)发送 API 请求

解码后的 JWT token 在授权 header 中传递:

{
  "aud": "https://graph.microsoft.com",
  "iss": "https://sts.windows.net/TENANTID_REMOVED_FOR_SECURITY/",
  "iat": 1588150105,
  "nbf": 1588150105,
  "exp": 1588154005,
  "aio": "42dgYOCaN0c46++enU1fZx+98Lc3DQA=",
  "app_displayname": "dspIT",
  "appid": "MYAPPID_REMOVED_FOR_SECURITY",
  "appidacr": "1",
  "idp": "https://sts.windows.net/TENANTID_REMOVED_FOR_SECURITY/",
  "oid": "fc709ea2-887e-4794-9417-ac578ab825e8",
  "rh": "0.ATEAfGSULqtSkUqIuFyy2LRFJyPSTnvDYjVDlpuh_cMocSgxAAA.",
  "roles": [
    "User.ReadWrite.All",
    "RoleManagement.Read.Directory",
    "Group.Read.All",
    "Directory.ReadWrite.All",
    "Group.Create",
    "Group.ReadWrite.All",
    "User.Invite.All",
    "Directory.Read.All",
    "User.Read.All",
    "GroupMember.Read.All",
    "User.Export.All",
    "PrivilegedAccess.Read.AzureADGroup",
    "User.ManageIdentities.All",
    "RoleManagement.ReadWrite.Directory",
    "GroupMember.ReadWrite.All",
    "Group.Selected",
    "PrivilegedAccess.ReadWrite.AzureADGroup"
  ],
  "sub": "fc709ea2-887e-4794-9417-ac578ab825e8",
  "tid": "TENANTID_REMOVED_FOR_SECURITY",
  "uti": "wvHXdAZomUefp2RpSGBPAA",
  "ver": "1.0",
  "xms_tcdt": 1519129156
}

感谢您的帮助。

最佳答案

根据您解码的 JWT token ，我进行了快速测试并找到了原因。

似乎有一个应用程序权限 Group.Selected 会影响此 API 端点 /memberOf 的调用。

此权限有问题，并且影响了其他一些端点。我之前回答过类似的帖子here .

因此，如果没有必要，只需将其从 Azure AD 应用程序中删除即可。然后这个错误就会消失。

如果需要此权限，恐怕您需要创建一个新的Azure AD应用程序来添加该权限才能使用。

关于azure - Microsoft Graph - 使用应用程序 token 获取 MemberOf 错误，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/61496146/

25

4

0

文章推荐：使用 Circleci config.yml 进行 Azure 应用服务插槽和交换部署

文章推荐： azure - 如何在 PR 完成之前测试发布是否成功？

文章推荐： azure - 如何从 URL 中提取特定的子目录名称

文章推荐： python - Pyspark 与 DBUtils

microsoft-graph-api - 'ImplicitMSALAuthenticationProvider' 不是从 '@microsoft/microsoft-graph-client' 导出的
我正在尝试将 Outlook API 与我的 React 应用程序集成。当我尝试使用 microsoft-graph-client 实现身份验证时，遇到以下错误。 'ImplicitMSALAuthe
microsoft-graph-api - microsoft graph BETA 使用 isfavoritebydefault 添加 Microsoft Teams channel
我正在尝试使用 Microsoft Graph Beta API 在 Microsoft Teams 中创建 channel 。在文档中，它说 channel 实体具有属性 IsFavoriteByD
microsoft-graph-api - 使用 Microsoft Graph API C# 将聊天消息发送到 Microsoft Teams channel
我的目标很简单。我想使用图形 API 将自动聊天消息发送到 MS Teams channel 。这似乎是图形 API 的测试版功能，仅在 Microsoft.Graph.Beta 中可用。我已经阅
microsoft-graph-api - 通过 Microsoft Graph API : Proxy_InternalServerError 访问 Microsoft Teams channel 消息时出错
通过委派权限获取 Teams channel 消息时(用户是团队成员): https://graph.microsoft.com/beta/teams/ {team_id}/channels/{cha
c# - Microsoft.AspNet.WebApi.OData 和 Microsoft.Data.OData 和 Microsoft.AspNet.OData 之间有什么区别？
我正在使用带有 OData 端点的 Web API 和 Entity Framework 创建一个 RESTful 服务。 Microsoft.AspNet.WebApi.OData 和 Micros
microsoft-cognitive - Microsoft Academic--如何通过DOI搜索论文？
我可以通过对标题和作者姓名的评估查询(以及解释查询)获得良好的结果。但是如果我想通过 DOI 查找论文怎么办？我可以通过扩展元数据描述(在现有搜索的属性中)获取条目的DOI信息，但是由于扩展元数据
microsoft-graph-api - Microsoft Graph中的单引号转义
我正在尝试通过displayName查询用户，但是在同时使用C#SDK和Graph Explorer发送请求时，我无法转义单引号。更新:在示例中不清楚，我遇到麻烦的搜索词是I' 查询示例: http
microsoft-fakes - Microsoft Fakes 测试项目无法加载程序集
我在使用 Microsoft fakes 的解决方案中有一个单元测试项目，当我构建它时出现以下错误。它提示无法加载的 DLL 在磁盘上。我已经打开了 Fusion 日志记录，这表明绑定(bind)成功
microsoft-teams - Microsoft Teams 来电事件
我想创建一个应用程序，当用户在 MS Teams 中接到电话时会收到通知。我的意思是我想在来电事件上订阅一些东西，然后根据来电信息做一些事情。这可能吗？到目前为止，我在 SDK 中没有看到任何事件。
microsoft-edge - Microsoft Edge 浏览器编码
如果我开发一个网站，它是否会以相同的方式在 IE11、Chrome、Firefox 和 edge 上运行，还是我们需要专门为 IE11 编写代码？我没有 Windows 8，因此无法在边缘浏览器上测试
microsoft-graph-api - Microsoft 图形通知停止工作
我几个月前为某些收件箱创建了一些订阅，系统成功收到了有关收到电子邮件的通知，订阅也定期更新以增加到期日期。这是我的订阅列表: https://graph.microsoft.com/v1.0/subs
microsoft-edge - Microsoft Edge 浏览器编码
如果我开发一个网站，它是否会以相同的方式在 IE11、Chrome、Firefox 和 edge 上运行，还是我们需要专门为 IE11 编写代码？我没有 Windows 8，因此无法在边缘浏览器上测试
microsoft-edge - 我们如何检查日志或调试 Microsoft Edge？
如果 Edge 在某些机器上发生崩溃，我们需要检查日志以了解发生了什么情况。最佳答案 Microsoft Edge 实际上是一个 Windows 进程，因此您应该能够在事件查看器中查看日志。此外，您
microsoft-test-manager - Microsoft 测试管理器如何运行自动化单元测试？
我已经将一些测试用例与项目中的单元测试相关联。该项目已构建并复制到共享上的放置位置。当我去运行这些测试时，由于作为这些测试的一部分包含的非托管 DLL 的 System.DllNotFoundExce
asp.net-core - Microsoft.Extensions.Identity.Stores 和 Microsoft.Extensions.Identity.Core 和 Microsoft.AspNetCore.Identity 之间有什么区别？
我对 asp.net 核心标识中的三个包感到困惑。我不知道彼此之间有什么区别。还有哪些是我们应该使用的？我在 GitHub 上找到了这个链接，但我没有找到。 Difference between M
c# - 类型 'Microsoft.SqlServer.Types.SqlGeography' 存在于 'Microsoft.SqlServer.Types.dll' 和 'Microsoft.SqlServer.Types.dll' 中
在我的 Windows 类库(由 MVC 网站使用)中，我安装了 NugetPackage Microsoft.SqlServer.Types (Spatial)。现在，我正在使用 ado.net
microsoft-teams - 如何重定向到我的 Microsoft Teams 自定义应用程序中的另一个页面？
我有一个简单的 web 应用程序，我在 Teams 中显示为一个应用程序。我已经在 App Studio 中进行了设置，一切都按我的预期工作，一切都很好。它正在显示我的网络应用程序，这就是我想要的。
microsoft-dynamics - 如何理解 Microsoft Dynamics 产品？
有什么不同？它们都是业务管理解决方案。他们做的一样吗？一些不同的版本？他们使用同一个平台吗？动态 Assets 净值 Microsoft Dynamics NAV 2009 is a compreh
microsoft-graph-api - Microsoft Graph-使用umlaut和其他unicode字符进行过滤
如何制定包含非英语字符(例如日耳曼语Umlauts)的Microsoft Graph /myOrganization/users OData查询？例子: 我的租户中有一个名为“ThomasMülle
microsoft-band - 在 Microsoft Band 上显示图像
我想创建一个类似于乐队附带的星巴克应用程序的应用程序。我想显示条形码。我可以在云端或本地设备上将条形码生成为 JPG 图像，但我需要能够在乐队的屏幕上显示它们。到目前为止，我还没有找到使用 Band

首页

博学

6Ren·AI

商城

azure - Microsoft Graph - 使用应用程序 token 获取 MemberOf 错误