问题标签 [azure-ad-graph-api]

我看到的有关获取访问令牌以访问 Azure Key Vault 的所有示例都涉及使用 ClientId 和 ClientSecret 为众所周知的https://vault.azure.net资源请求令牌。

这很好用......但我希望能够使用集成安全性来获取访问密钥库的访问令牌。

例如，我有

这两种尝试都失败了。第一个说

第二个：

如何更新 requiredResourceAccessList？

更新：这是应用程序的配置方式

我目前在 C# 云服务应用程序中使用 Microsoft.Azure.ActiveDirectory.GraphClient，该应用程序根据存储在数据库中的信息管理 Office 365 中的用户配置和更新。

我面临的问题是用户邮件地址的设置。在提供新用户时，设置新用户对象的邮件地址属性会导致 Graph 客户端抛出错误。配置新用户时，主 SMTP 地址会自动设置为用户的 UPN。以下代码将成功创建新用户并将主 SMTP 地址设置为与为 UserPrincipalName 设置的值相同：

很公平 - UPN 和主电子邮件地址不匹配可能会导致自动发现问题。

我遇到的问题是用户对象的“邮件”属性在更新用户时设置时也会引发错误。

以下代码将成功更新用户：

上述代码将更改用户的 UPN，但不会像添加新用户场景中那样更新主 SMTP 地址。我不明白这一点，因为它可能会导致自动发现问题（因为 UPN 与主 SMTP 地址不同）并否定在创建新用户时无法设置邮件地址的任何原因。

我找不到有关如何更新用户电子邮件地址或将其他电子邮件地址设置为主 SMTP 地址的任何详细信息。此要求的场景例如，当用户结婚并且他们希望有一个新的电子邮件地址作为他们的主要电子邮件地址时。

有没有人知道如何使用 Microsoft.Azure.ActiveDirectory.GraphClient 管理用户的主 SMTP 地址？我可以找到有关设置其他电子邮件地址的信息，但找不到有关如何更改主 SMTP 地址的信息。

感谢您的帮助！

更新：我发现问题与IncludeClassicAdministrators参数无关 - 没有那个问题仍然会发生。我已经相应地更新了这个问题。

背景
我正在编写一个 Azure 自动化脚本来监控谁有权访问我的订阅。我打电话Get-AzureRmRoleAssignment来获取管理员列表。当我在本地运行我的脚本并以我自己的身份进行身份验证时，它工作正常。当我在自动化中运行它时，我正在使用服务主体进行身份验证，并且由于Access denied to the specified API version失败。

详细信息
我启用了调试输出，我可以看到Get-AzureRmRoleAssignment进行了 3 个 API 调用：

在 Azure 自动化中，这是最后一次调用（获取第一次调用返回的用户对象 ID 的用户详细信息）失败：

我在本地运行时看到完全相同的调用，所以我认为这不是版本问题。（我正在使用图库中的 MSOnline 模块。）

我在想我需要向我的服务主体授予一些额外的权限，但不确定哪些权限。我添加了以下所有权限，但仍然收到相同的错误：

Windows Azure Active Directory
应用程序权限

• 读/写目录数据
• 读取目录数据

委托权限

• 读取目录数据
• 阅读所有用户的完整个人资料
• 阅读所有用户的基本资料

Windows Azure 服务管理 API
委派权限

• 以组织用户身份访问 Azure 服务管理

Microsoft Graph
应用程序权限

• 读取目录数据

我正在构建 Office 365 Outlook 加载项。从我想调用 Graph API 的那个插件中，是否可以在不要求用户再次登录应用程序的情况下获取访问令牌？

我正在尝试通过Active Directory Graph API禁用 Microsoft Dynamic CRM 在线专业人员的服务计划。它以状态 200 OK 响应，当我检查响应 json 时，一切似乎都是正确的。所有服务计划都带有“capabilityStatus”：“已删除”值。

因此可以假设所有服务都被成功禁用。但是当我在 Office 365 门户上检查用户的许可证时，最后一个没有被删除，如下图所示。

任何人都知道为什么服务计划没有从门户上的许可证中删除，尽管通过 Graph API 返回响应状态是“成功”？

非常感谢您的建议和帮助。

我正在尝试开发一个与 O365 Groups 集成的应用程序，因为我需要我能获得的所有信息。当我调用“ https://graph.microsoft.com/v1.0/groups/ ”时使用 Graph API Explorer我得到这样的答案：

但是一旦我从我的应用程序中调用相同的休息函数，我就会将大多数实体设为空，如下所示：

有人可以告诉我我错过了什么吗？

我的应用程序中的访问令牌范围：Group.Read.All User.Read。

谢谢！

当我们使用 Graph API 在 Active Directory 中创建用户时，一些字符会附加到用户名 (#EXT#)。这使得无法在 AD B2C 的界面中编辑用户（记录的问题）或使用 ADAL 2.23（Active Directory 身份验证库）进行登录。

unknown_user_type特别是，我们使用AcquireToken(username, password)方法时会出现错误（ ）。错误如下：

为什么会这样？这个问题有什么解决方案或解决方法吗？

问候。

我有一个与 WebAPI 对话的 Angular 应用程序，并且用户通过 Azure Active Directory 进行身份验证

我按照这里的示例https://github.com/Azure-Samples/active-directory-angularjs-singlepageapp-dotnet-webapi并能够针对 AD 对用户进行身份验证并将其传递给 Web API。

但是我想访问 Web API 中的 Graph API 并获取当前用户配置文件信息。我该如何设置？

更新以提供有关设置的更多上下文：

我有一个托管 html 和 javascript 文件的网站 (site.domain1.com)，它制作了一个 SPA 应用程序。我在 api.domain2.com 上托管了 Web API。身份验证针对 Azure AD，使用带有 ADAL.js 和 angular-adal 的 OAuth 隐式流。我想在 SPA 中进行身份验证以获取 API 的 accessToken。我希望在 API 中作为查询 Graph API 的请求的一部分，以获取有关当前用户登录的更多信息。

我能够获取 API 的 accessToken 并且它目前生成 Claims Principal。问题是用我在 Web API 中的当前身份查询 Graph API。

更新：

我不想为 Web API 提供管理员权限，但我更愿意将用户同意从浏览器转发到网站和 Web api。

我对位于此处的示例使用了类似的方法https://github.com/Azure-Samples/active-directory-dotnet-webapi-onbehalfof

它适用于我的测试广告并且不适用于生产广告的问题。说用户需要在使用 Graph Api 之前集中应用程序。（对于生产 AD，我只有用户可以添加用户权限但不能添加应用程序权限。我的猜测是该方案工作我需要 AD 的全局管理员首先集中注意力）。最终，我最终将用于网站和 Web API 的 Azure AD 应用程序合并在一起，并且它使用与 Bootstrap Tokens 相同的 On Behalf Of 方法工作。但我想知道如何让它与 2 个应用程序一起正常工作。

我正在尝试使用 MS Graph API 从 OneDrive for Business 获取文件/文件夹列表。我已经在 Graph Explorer 中成功执行了我需要的查询，现在正在继续在我的项目中实施。

我的应用程序是 Windows 服务，因此我正在使用此方法获取令牌

我已成功检索到令牌，但是当我“获取”此 URL 时... //graph.microsoft.com/v1.0/users('someuseraccount')/drive/items/somedriveitem/microsoft.graph.createLink

...我收到错误回复：

令牌中必须存在 scp 或角色声明。

我来自服务器的令牌响应如下：

我正在尝试根据http://graph.microsoft.io/en-us/docs/api-reference/beta/api/user_post_plans使用 Graph 创建一个规划器计划

但我一直收到以下 BadRequest 响应：

根据我发布到https://graph.microsoft.com/beta/me/plans的文档，正文如下：

没有运气。之前生成的组如下所示：

我尝试了各种请求主体的组合。有和没有 createdBy 值。有和没有所有者价值观。似乎没有任何效果。

有什么想法我哪里出错了吗？该错误在我的集成测试以及图形浏览器中是一致的。

谢谢