1

我有一个使用 adal4j 的有效 Azure AD/Azure 守护程序应用程序,该应用程序使用用户/密码身份验证。由于 ADFS 的问题,我希望也能够使用服务主体(客户端 ID/秘密)进行身份验证。这似乎适用于应用程序的 Azure(非 AD)部分,因为可以为相关订阅定义 SP 角色,但是对于 Azure AD 部分,我得到:

response code 403, error: Authorization_RequestDenied: Insufficient privileges to complete the operation.

...这发生在第一次调用 Graph API 时 - 我使用https://graph.windows.net范围从 AuthenticationContext.acquireToken() 获取有效令牌。

我的帐户是目录中的所有者。我尝试使用应用程序上的“授予权限”按钮,还尝试制作同意 URL(有效)并使用它来同意应用程序在目录中具有必要的权限。两者似乎都不会影响这一点。

该应用程序是一个本地应用程序,因为它是一个守护程序/服务应用程序,所以不能参与 OAuth2 同意。

如何使用 SP 访问 Azure AD Graph API 进行身份验证?提醒一下,未更改,该应用使用(非 ADFS)用户/密码,SP 使用 Azure API,而不是 Azure AD Graph API。

谢谢...

PS 我也尝试过使用 Azure Graph API,微软现在推荐它而不是 Azure AD Graph API。结果相同,并且同样适用于用户/密码凭据。

对此进行修改以将 adal4j 排除在外——这似乎更像是一个通用的 Azure AD 问题。这是使用 curl 的问题示例:

客户端凭据令牌请求:

curl --request POST "https://login.windows.net/367cxxxx41e5/oauth2/token" --data-urlencode "resource=https://graph.windows.net" --data-urlencode "client_id=9d83yyyy08cd" --data-urlencode "grant_type=client_credentials" --data-urlencode "client_secret=secret"

客户端凭据令牌响应:

{"token_type":"Bearer","expires_in":"3599","ext_expires_in":"0","expires_on":"1491486990","not_before":"1491483090","resource":"https://graph.windows.net","access_token":"eyJ0zzzz2zVA"}

使用客户端凭据令牌的 Azure AD REST 查询:

curl "https://graph.windows.net/367cxxxx41e5/tenantDetails" --header "Authorization: eyJ0xxxx2zVA" --header "Accept: application/json;odata=minimalmetadata" --header "api-version: 1.6"

使用客户端凭据令牌的 Azure AD REST 响应:

{"odata.error":{"code":"Authorization_RequestDenied","message":{"lang":"en","value":"Insufficient privileges to complete the operation."}}}

现在,将其与(注意相同的租户 ID/应用 ID)进行对比:

密码凭证令牌请求:

curl --request POST "https://login.windows.net/367cxxxx41e5/oauth2/token" --data-urlencode "resource=https://graph.windows.net" --data-urlencode "client_id=9d83yyyy08cd" --data-urlencode "grant_type=password" --data-urlencode "username=bozo@clown.com" --data-urlencode "password=password"

密码凭证令牌响应:

{"token_type":"Bearer","scope":"Directory.AccessAsUser.All Directory.Read.All Group.Read.All Member.Read.Hidden User.Read User.Read.All User.ReadBasic.All","expires_in":"3599","ext_expires_in":"0","expires_on":"1491489157","not_before":"1491485257","resource":"https://graph.windows.net","access_token":"eyJ0zzzz0EXQ","refresh_token":"AQABzzzzAgAA"}

使用密码凭据令牌的 Azure AD REST 查询:

curl "https://graph.windows.net/367cxxxx41e5/tenantDetails" --header "Authorization: eyJ0xxxx0EXQ" --header "Accept: application/json;odata=minimalmetadata" --header "api-version: 1.6"

使用密码凭据令牌的 Azure AD REST 响应:

{"odata.metadata":"https://graph.windows.net/367cxxxx41e5/$metadata#directoryObjects/Microsoft.DirectoryServices.TenantDetail","value":[{"odata.type":"Microsoft.DirectoryServices.TenantDetail","objectType":"Company","objectId":"367cxxxx41e5","deletionTimestamp":null,"assignedPlans":[{"assignedTimestamp":"2017-02-24T03:25:33Z","capabilityStatus":"Enabled","service":"SharePoint","servicePlanId":"e95byyyyc014"},...

在这一点上,我的怀疑是在创建应用程序时由 Azure AD 默认创建的 SP 不包含必要的权限。我将尝试创建一个具有指定权限的新 SP。这样的例子比比皆是,但都集中在目标应用程序是一些神话般的 LOB 应用程序,而不是 Azure AD。而且,与半生不熟的门户网站一样,必须使用 CLI 来执行此操作。

</snark>

此外,我已经验证任何具有 Reader 角色的人都应该能够执行该查询。我已将贡献者和所有者都添加到 SP,但没有任何效果。

此外,FWIW,我已验证 SP 在理论上具有我在门户中输入的 Azure AD(和其他)权限。我认为。

    PS C:\> Get-AzureADServicePrincipalOAuth2PermissionGrant -objectid 'a9f9xxxx5377'|format-list -property consenttype,resourceid,scope

ConsentType : AllPrincipals
ResourceId  : c569xxxxe7f0
Scope       : Member.Read.Hidden User.Read User.ReadBasic.All User.Read.All Group.Read.All Directory.Read.All
              Directory.AccessAsUser.All

ConsentType : AllPrincipals
ResourceId  : 3318xxxx66a5
Scope       : user_impersonation

ConsentType : AllPrincipals
ResourceId  : 8c0fxxxx4198
Scope       : User.Read.All User.ReadBasic.All Group.Read.All Directory.Read.All Directory.AccessAsUser.All User.Read

PS C:\> get-azureadobjectbyobjectid -objectids 'c569xxxxe7f0','3318xxxx66a5','8c0fxxxx4198'

 ObjectId     AppId                                DisplayName
--------     -----                                -----------
8c0fxxxx4198 00000003-0000-0000-c000-000000000000 Microsoft Graph
3318xxxx66a5 797f4846-ba00-4fd7-ba43-dac1f8f63013 Windows Azure Service Management API
c569xxxxe7f0 00000002-0000-0000-c000-000000000000 Microsoft.Azure.ActiveDirectory
4

1 回答 1

0

根据您的描述,根据我的经验,我认为这个问题是由两个原因引起的。

  1. 不要在 Azure 门户上的 Azure AD 中注册的应用程序选项卡中添加 API 访问权限,如下所示并选择相关Windows Azure Active Directory (Microsoft.Azure.ActiveDirectory)权限。Required permissions

在此处输入图像描述

作为参考,您可以参考其他 SO 线程Trouble with authorization using client_credentials Azure AD Graph API或此处的官方文档和有用的博客

  1. Contributor不为此服务主体分配。您需要运行下面的 powershell 命令来执行此操作。

    New-AzureRmRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName 'applicationID'

    或者,您也可以参考我对另一个 SO 线程的回答,无法列出来自 Azure java SDK 的图像发布者以通过 Azure CLI 或仅在 Azure 门户上执行此操作。

希望能帮助到你。

于 2017-04-06T08:52:18.733 回答