azure-active-directory - 如何以编程方式在 Azure AD 中创建应用程序

Question

每当有对新环境的请求时，我目前都在 Azure Active Directory 上手动创建我的应用程序。我正在探索通过 REST API 从代码创建这些应用程序的方法。如图所示，我通过使用“client_credentials”成功地在现有应用程序上创建用户和组。

ClientCredential clientCred = new ClientCredential(clientID, clientSecret);
AuthenticationResult authenticationResult = await authenticationContext.AcquireTokenAsync(resAzureGraphAPI, clientCred);

以类似的方式，我尝试使用从上面生成的“access_token”来创建一个新的应用程序 adClient.Applications.AddApplicationAsync(newApplication).Wait()

但这会引发错误-“权限不足，无法完成操作”。

我查看了其他线程和 Azure AD msdn 页面，结果发现 client_credentials 流不支持创建/更新应用程序。

使用客户端凭据流以编程方式在 Azure AD 中添加应用程序

上面的线程还提到了解决方法是使用“grant_type=password”流程。我按照建议尝试了它，但我不断收到以下错误，这对我来说没有意义。

"error": "invalid_grant",
    "error_description": "AADSTS50034: To sign into this application the account must be added to the 1283y812-2u3u-u293u91-u293u1 directory.\r\nTrace ID: 66da9cf9-603f-4f4e-817a-cd4774619631\r\nCorrelation ID: 7990c26f-b8ef-4054-9c0b-a346aa7b5035\r\nTimestamp: 2016-02-21 23:36:52Z",
    "error_codes": [
        50034
    ],

这是我要命中的有效负载和端点。传递的用户是我要在其中创建应用程序的 AD 的所有者

endpoint:https://login.windows.net/mytenantID/oauth2/token

post data
resource    00000002-0000-0000-c000-000000000000
client_id   id
client_secret   secret
grant_type  password
username    principal@mydomain.com
password    password
scope       openid

任何关于我可能出错的想法或建议将不胜感激。

Answer 1

POST检查以下在您的 OAuth 令牌端点中似乎有点偏离的内容：

• 当想要访问 Azure AD 的 Graph API 时，需要https://graph.windows.net作为resourcebody 参数传递；这是（恕我直言）没有很好的记录，但这就是你需要做的
• 因为client_id，client_secret您需要在 Azure AD 中传递预定义应用程序的客户端 ID 和密钥，这反过来又授予了每个用户级别的权限；这些需要足以添加应用程序
  • 请参阅此处：https ://msdn.microsoft.com/Library/Azure/Ad/Graph/howto/azure-ad-graph-api-permission-scopes?f=255&MSPPError=-2147217396
• 我认为没有使用该scope参数；您将获得您在 Azure AD 管理门户中定义的声明（为您的应用程序分配的权限）

这应该为您提供访问令牌，然后您可以随后在https://graph.windows.net/tenantId/端点上使用。

Answer 2

我能够在我的租户中创建应用程序。我用于在其下创建应用程序的 AD 租户已针对不同的域进行了验证。基本上，我最终插入了来自该域的用户并使用 resource_type=password 流能够生成访问令牌。接下来，触发以下代码行就可以了

 ActiveDirectoryClient adClient = new ActiveDirectoryClient(
                serviceRoot,
                AccessToken);
adClient.Applications.AddApplicationAsync(newApplication).Wait();

Answer 3

您可以使用 PowerShell 创建您的应用程序：

$servicePrincipalName =”Your Client App Name”
$sp = New-MsolServicePrincipal -ServicePrincipalNames $servicePrincipalName -DisplayName $servicePrincipalName -AppPrincipalId “Your Client ID"
New-MsolServicePrincipalCredential -ObjectId $sp.ObjectId -Type Password -Value “Your client secret”
Add-MsolRoleMember -RoleObjectId “62e90394-69f5-4237-9190-012177145e10" -RoleMemberType ServicePrincipal -RoleMemberObjectId $sp.ObjectId

62e90394-69f5-4237-9190-012177145e10表示的角色为Admin角色，可根据需要调整为任何其他角色的ObjectId。运行 Get-MsolRole 以获取角色和 ObjectId 的列表。

然后，您可以从您的应用程序运行此代码或手动运行它。您还需要在上述操作之前运行您的连接代码，类似于：

$loginAsUserName = "Your Tenancy Admin Account"
$loginAsPassword = "Your Tenancy Admin Account Password"

$secpasswd = ConvertTo-SecureString $loginAsPassword -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential ($loginAsUserName, $secpasswd)

Connect-MsolService -Credential $creds