0

我想通过 C# REST 调用生成 Azure AD 不记名令牌。我想在 API 调用中编写用户注册逻辑。我将其用作令牌端点:

https://login.windows.net/[tenant-id]/oauth2/token

我遵循了与本文中描述的相同的程序。

我使用的用户凭据是“全局管理员”。

但我仍然收到“未经授权”错误。请在下面找到代码片段和响应正文 -

代码

using (HttpClient client = new HttpClient())
        {
            var tokenEndpoint = @"https://login.windows.net/<tanent-name>/oauth2/token";
            var accept = "application/json";

            client.DefaultRequestHeaders.Add("Accept", accept);
            string postBody = @"resource=https%3A%2F%2Fgraph.microsoft.com%2F
              &client_id=<client-id>
              &grant_type=password
              &username=<admin-user-name>
              &password=<admin-pass>
              &scope=openid";

            using (var response = await client.PostAsync(tokenEndpoint, new StringContent(postBody, Encoding.UTF8, "application/x-www-form-urlencoded")))
            {
                if (response.IsSuccessStatusCode)
                {
                    var jsonresult = JObject.Parse(await response.Content.ReadAsStringAsync());
                    var token = (string)jsonresult["access_token"];
                    return token;
                }
                else
                    return null;
            }
        }

响应体

{ StatusCode: 401, ReasonPhrase: 'Unauthorized',
  Version: 1.1, Content: System.Net.Http.StreamContent, Headers:
{
  Pragma: no-cache
  Strict-Transport-Security: max-age=31536000; includeSubDomains
  X-Content-Type-Options: nosniff
  x-ms-request-id: cabefe46-ff73-4659-80a2-2f4136200900
  Cache-Control: no-store, no-cache
  P3P: CP="DSP CUR OTPi IND OTRi ONL FIN"
  Set-Cookie: esctx=AQABAAAAAADX8GCi6Js6SK82TsD2Pb7...
  Set-Cookie: x-ms-gateway-slice=004; path=/; secure; HttpOnly
  Set-Cookie: stsservicecookie=ests; path=/; secure; HttpOnly
  Server: Microsoft-IIS/10.0
  X-Powered-By: ASP.NET
  Date: Thu, 24 May 2018 13:43:39 GMT
  Content-Length: 457
  Content-Type: application/json; charset=utf-8
  Expires: -1
}}

PS-另外请指出是否有任何其他方式可以在不进行 REST 调用的情况下添加新用户。我不想在客户端应用程序中进行用户注册。

[更新] 请找到添加的权限和角色的屏幕截图。 权限和角色

4

2 回答 2

0

另外请指出是否有任何其他方法可以在不进行 REST 调用的情况下添加新用户。我不想在客户端应用程序中进行用户注册。

如果你想创建用户,我们可以使用Microsoft.Graph来做到这一点。

在此之前,我们需要注册 Azure AD 应用程序。并添加 Microsoft graph 权限。有关更多详细信息,我们可以参考Create User API

我使用Directory.ReadWrite.All权限对其进行测试。不要忘记授予权限。

在此处输入图像描述

演示代码。

string graphResourceId = "https://graph.microsoft.com/";
string authority = "https://login.microsoftonline.com/{0}";
string tenantId = "tenant Id";
string clientId = "client Id";
string secret = "secret";
authority = String.Format(authority, tenantId);
AuthenticationContext authContext = new AuthenticationContext(authority);
var accessToken = authContext.AcquireTokenAsync(graphResourceId, new ClientCredential(clientId, secret)).Result.AccessToken;
            var graphserviceClient = new GraphServiceClient(
                new DelegateAuthenticationProvider(
                    requestMessage =>
                    {
                        requestMessage.Headers.Authorization = new AuthenticationHeaderValue("bearer", accessToken);

                        return Task.FromResult(0);
                    }));
var user = new User
         {
             UserPrincipalName = "tomaccount1@xxxxx.onmicrosoft.com",
             AccountEnabled = true,
             DisplayName = "tom1",
             PasswordProfile = new PasswordProfile
             {
                 ForceChangePasswordNextSignIn = true,
                 Password = "1234qweA!@#$%6"
             },
              MailNickname = "tomaccount1"
            };
 var addUserResult = graphserviceClient.Users.Request().AddAsync(user).Result;

测试结果:

在此处输入图像描述

从 Azure AD 检查

在此处输入图像描述

包.config

<?xml version="1.0" encoding="utf-8"?>
<packages>
  <package id="Microsoft.Graph" version="1.9.0" targetFramework="net471" />
  <package id="Microsoft.Graph.Core" version="1.9.0" targetFramework="net471" />
  <package id="Microsoft.IdentityModel.Clients.ActiveDirectory" version="3.19.4" targetFramework="net471" />
  <package id="Newtonsoft.Json" version="11.0.2" targetFramework="net471" />
  <package id="System.IO" version="4.3.0" targetFramework="net471" />
  <package id="System.Net.Http" version="4.3.3" targetFramework="net471" />
  <package id="System.Runtime" version="4.3.0" targetFramework="net471" />
  <package id="System.Security.Cryptography.Algorithms" version="4.3.1" targetFramework="net471" />
  <package id="System.Security.Cryptography.Encoding" version="4.3.0" targetFramework="net471" />
  <package id="System.Security.Cryptography.Primitives" version="4.3.0" targetFramework="net471" />
  <package id="System.Security.Cryptography.X509Certificates" version="4.3.2" targetFramework="net471" />
</packages>
于 2018-05-25T06:19:48.550 回答
0

正如汤姆所提到的,您的问题应该是由用户无权访问您的应用程序引起的。

由于您使用的是 ROPC 授权流,因此请确保用户是该客户端/AAD 应用程序的所有者。

您可以将 onwer 添加到 AAD 应用程序:

转到 Azure 门户 > Azure Acitve 目录 > 应用程序注册 > 应用程序 > 设置 > 所有者 > 添加所有者 > 选择该用户。

另外,如果用户启用了 MFA,则此流程将不起作用。

让我知道它是否有帮助!

于 2018-05-25T03:08:30.490 回答