1

我想要做的:通过REST API创建和配置 B2C 租户。

我做了什么:

我在我的默认目录中创建了一个名为 CDTester 的应用程序注册和一个秘密,然后将其添加到具有角色的目标订阅中Contributor

我从 user-secrets 加载了一个配置对象 cfg,其中包含 CDTester 的应用程序 ID 和密钥、我的默认目录的租户 ID 和目标订阅的 ID。

在代码中,我使用ConfidentialClientApplicationBuilder.

然后我使用我得到的令牌做一些事情:

  1. 我检查是否存在特定资源组
  2. 如果它不存在,我创建它
  3. 我检查 B2C 租户的所需名称是否可用
  4. 我(尝试)创建租户。

步骤 1-3 工作正常。但是第 4 步给了我一个401/Unauthorized。响应的正文被格式化为内容类型的 HTML(而不是 JSON)并且只包含

您无权查看此目录或页面。

因为步骤 1-3 有效,所以我知道我的身份验证正确。我什至可以访问 B2C 特定的 API(我在第 3 步中使用)。

接下来我进入 Portal 并成为CDTester订阅的所有者,所以不应该有任何不允许的操作。唉,无济于事,我得到了同样的结果。

作为参考,以下是我的代码的相关部分:

// getting the access token
var app = ConfidentialClientApplicationBuilder
    .Create(authConfig.ApplicationId)
    .WithTenantId(authConfig.LoginTenantId)
    .WithClientSecret(authConfig.ApplicationSecret)
    .Build();
var authResult = await app.AcquireTokenForClient(new[] {"https://management.azure.com/.default"})
                          .ExecuteAsync();

// I use FlurlHttp and set the token
FlurlHttp.Configure(s => s.BeforeCall = c => c.Request.Headers.Add("Authorization", $"Bearer {authResult.AccessToken}"));

// this call works just fine
var nameAvailabilityResponse =  await $"https://management.azure.com/subscriptions/{authConfig.SubscriptionId}/providers/Microsoft.AzureActiveDirectory/checkNameAvailability?api-version=2019-01-01-preview"
                                        .PostJsonAsync(new
                                        {
                                            name = creation.FullDirectoryName,
                                            countryCode = creation.CountryCode
                                        })
                                        .ReceiveJson();
if (!nameAvailabilityResponse.nameAvailable)
{
    await Console.Error.WriteLineAsync(nameAvailabilityResponse.message);
    return ExitCodes.DirectoryNameIsNotAvailable;
}

var displayName = creation.EnvironmentName == "production"
    ? "DEON"
    : $"DEON - {creation.EnvironmentName.ToUpperInvariant()}";


// this one gives the 401
var creationResponse = await $"https://management.azure.com/subscriptions/{authConfig.SubscriptionId}/resourceGroups/{creation.ResourceGroupName}/providers/Microsoft.AzureActiveDirectory/b2cDirectories/{creation.FullDirectoryName}?api-version=2019-01-01-preview"
                        .AllowAnyHttpStatus()
                        .PutJsonAsync(new
                        {
                            location = "Europe",
                            properties = new
                            {
                                createTenantProperties = new
                                {
                                    countryCode = creation.CountryCode,
                                    displayName
                                }
                            },
                            sku = new
                            {
                                name = "Standard",
                                tier = "A0"
                            }
                        });

谷歌搜索带来的相关命中率恰好为零,甚至只是半相关命中率。现在我被困住了。

4

1 回答 1

1

根据此处提供的答案:https ://docs.microsoft.com/en-us/answers/questions/481152/creating-azure-b2c-tenant-via-rest-api-fails-with.html ,看来您无法使用服务主体创建 Azure AD B2C 租户(至少从今天开始)。

您将需要在实际用户的上下文中执行此请求。换句话说,您需要获取一个令牌来执行服务管理 API,其user_impersonation范围是服务主体无法实现的。

于 2021-07-20T16:15:40.463 回答