问题标签 [acs-serviceidentity]

我在 azure WebRole 中托管 WCF 4.5 服务，并使用 Azure ACS 服务标识来管理我的 wcf 用户（主动身份验证）。我接受了这个模型，因为我们的用户数量有限

现在我想知道如何通过 C# 代码以编程方式管理（创建/读取/更新/删除）ACS 服务标识。

我有一个信任 ACS 命名空间 A 的依赖方应用程序，并且我在 ACS 命名空间 B 中有服务标识，我希望服务标识能够调用这些依赖方应用程序，以便命名空间 A 与命名空间 B 对话以进行身份​​验证。

有什么方法可以实现这一点，我找不到与此相关的任何文件，如果有人可以指导我找到一些关于我们如何实现这一点的文档，那就太好了。

谢谢

我正在使用图形 API 来检索用户图像和 SharePoint 列表项，并使用托管服务标识进行身份验证。我成功地使用 powershell 为我的服务身份添加了所需的权限。

当我将应用程序发布到分配给服务标识的天蓝色服务时，此错误但添加了权限并完美运行。

我正在使用 Microsoft.Azure.Services.AppAuthentication 来检索令牌并进行调用。

问题出在本地开发中，这取决于我的凭据。这成功地获得了一个具有一些基本图形访问权限的令牌，例如 /me 和 /user basic 但是当我尝试检索列表或用户图像时，我收到以下错误：

我已经尝试使用我自己的对象 ID 代替$msiObjectIdpowershell 代码，并且还尝试更改New-AzureADServiceAppRoleAssignment为，New-AzureADUserAppRoleAssignment但都没有成功。我还在 UI 中尝试了所有我可以尝试的方法，但找不到添加权限的方法并尝试过https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/authorize?client_id=00000003-0000-0000-c000-000000000000&scope=offline_access%20User.Read.All%20Sites.Read.All，这给了我一个关于没有回复 url 的错误，而且也不起作用。

我想我可能需要为我的帐户添加一些委托权限来代替应用程序角色分配，但无论如何我都找不到这样做。我能够看到使用的权限，$sp.Oauth2Permissions但无法找到授予自己这些权限的方法。

这可能吗？如果可以，怎么做？

基本上，我需要我的凭据（没有应用程序）在使用时至少具有对 Microsoft Graph (GraphAggregatorService) 的“Sites.Read.All”和“User.Read.All”访问权限new AzureServiceTokenProvider().GetAccessTokenAsync())