我正在尝试使用https://github.com/cljung/AzureAD-B2C-scripts中的脚本,并尝试使用 Scope 执行以下连接设备登录以避免客户端凭据。
Connect-AzADB2CDevicelogin -TenantName "yourtenant.onmicrosoft.com" -Scope "Application.Read.All Policy.ReadWrite.TrustFramework"
我收到以下错误:
AADSTS65002:必须通过预授权配置第一方应用程序“1950a258-227b-4e31-a9cf-717495945fc2”和第一方资源“00000003-0000-0000-c000-000000000000”之间的同意 - Microsoft 拥有和运营的应用程序必须获得批准API 所有者在为该 API 请求令牌之前。
你能帮我解决可能是什么问题吗?我怎样才能获得批准?
这里的一般想法是,未经管理员同意,应用程序不能随机读取另一个租户的信息/从另一个租户读取信息。这就是同意框架发挥作用的地方:
Azure Active Directory (Azure AD) 同意框架使开发多租户 Web 和本机客户端应用程序变得容易。这些应用程序允许用户帐户从不同于注册应用程序的 Azure AD 租户登录。除了您自己的 Web API 之外,他们可能还需要访问 Web API,例如 Microsoft Graph API(以访问 Azure AD、Intune 和 Microsoft 365 中的服务)和其他 Microsoft 服务的 API。
该框架基于用户或管理员同意要求在其目录中注册的应用程序,这可能涉及访问目录数据。例如,如果 Web 客户端应用程序需要从 Microsoft 365 读取有关用户的日历信息,则需要该用户首先同意客户端应用程序。获得同意后,客户端应用程序将能够代表用户调用 Microsoft Graph API,并根据需要使用日历信息。
阅读Azure Active Directory 同意框架,了解如何以正确的方式为您的方案实施它。
编辑:
根据Azure AD 身份验证和授权错误代码:
租户中的开发人员可能正在尝试重复使用 Microsoft 拥有的 App ID。此错误会阻止他们模拟 Microsoft 应用程序来调用其他 API。他们必须转移到他们在https://portal.azure.com中注册的另一个应用 ID 。
好像有一些错误的配置。