问题标签 [azure-ad-graph-api]

我正在使用 Azure AD PS 模块的新预览版。我正在尝试通过新的 AccessToken 参数进行连接：

但我得到了一个“意外错误”。

我知道我使用的访问令牌很好，因为我可以使用它从 Postman 调用 Graph API。有没有人让这个工作？

编辑： 不确定投反对票的原因，但只是为了表明我做了功课，这是 PS 模块在幕后发出的请求/响应，用 Fiddler 跟踪捕获。它包含有用的消息“用户身份标头无效”。

要求

回复

这是我获取访问令牌的方式。我正在使用客户端凭据流，因为最终我的目标是从 Azure 自动化运行它。

作为学习应用程序，我正在使用本文中提到的 AngularJS、ADAL js 和 WebAPI。

Angularjs-authentication-using-azure-active-directory-authentication-library-adal

教程对于实现来说非常整洁。身份验证后，我尝试在 Azure AD 中添加一个用户 [我验证了我的凭据的同一个 AD ]。

要使用 Azure AD，有 Azure AD Graph API。它需要持有者令牌。

AuthorizationContext将使用The Bearer 令牌。

由于身份验证上下文处于控制之中，因此它再次通过弹出窗口询问凭据。但我已经有一个claimPrincipal。

有什么方法可以使用 ClaimPrincipal 来获取 BearerToken 吗？

我的网站使用 GraphClient 库 ( http://www.nuget.org/packages/Microsoft.Azure.ActiveDirectory.GraphClient ) 来查询 Azure AD。它使用自己的凭据和授权令牌来访问 graph.windows.net，这工作正常。

我正在尝试更改它，以便当用户登录我的网站并使用他们自己的 Microsoft 租户帐户进行身份验证时，我的网站然后使用该用户令牌而不是其（网络服务器）自己的令牌查询 graph.windows.net。

我使用 OWIN 中间件、针对 Microsoft 的 OpenID 进行身份验证，最后使用 GraphClient 来查询 AzureAD。

现在我的流程在 OWIN Notifications => AuthorizationCodeReceived 我执行 AcquireTokenByAuthorizationCode() 来检索用户 AccessToken，然后我尝试像这样连接到 GraphClient..

GraphClient 总是对我检查的所有调用返回一个“权限不足”的响应。但是，如果我向 graph.windows.net REST API 创建一个简单的 HTTPClient 请求，并从上面使用 userAccessToken 注入“Bearer”授权标头，那么 Graph API 会给我一个有效的响应。

当一个简单的 HTTPClient 请求正常工作时，为什么 GraphClient 库会返回“权限不足”？

能够为非管理员用户重置密码。但不适用于具有管理员目录角色的用户。

已按记录尝试：https ://msdn.microsoft.com/Library/Azure/Ad/Graph/api/users-operations#ResetUserPassword

响应：代码：Authorization_RequestDenied 消息：权限不足，无法完成操作。

我在 AzureAD 中为应用程序配置了所有应用程序和委派权限（读取和写入目录数据等）。

谷歌搜索并找到一篇相关帖子：最近更改了权限范围http://blogs.msdn.com/b/aadgraphteam/archive/2015/10/06/new-graph-api-consent-permissions.aspx

我们正在构建一个前端应用程序，它使用 Azure AD APP 使用 Office 365 进行单点登录。

要使用 OAuth 身份验证过程获取访问令牌，我们需要传递资源 URI，它可以是

1. xyz.sharepoint.com -- 与 SharePoint 网站集集成
2. xyz-my.sharepoint.com -- 与 OneDrive for business 集成
3. outlook.office.com -- 与 Outlook graph.windows.net 集成 --
4. graph.windows.net -- 使用图形 API 进行任何搜索。

但是要完成单点登录过程，我们需要获取用户配置文件信息，至少需要电子邮件 ID。我们在前端应用程序中与 Onedrive 业务集成。

因此，要获取用户电子邮件，如果我使用资源 xyz-my.sharepoint.com 获取访问令牌，我将无法获取此信息。我必须使用 xyz.sharepoint.com 或 graph.windows.net。因此，对于我们的要求，我们必须获取 2 个资源的访问令牌。这似乎不对，我们必须维护这些访问令牌以及刷新令牌以使这些访问令牌处于活动状态。

是否有任何其他方法可以获得可用于所有 Office 365 服务 OneDrive、日历、邮件、Outlook 和 Sharepoint 的访问令牌？

问候，

是否可以通过 API 获取我拥有的 Azure AD 目录列表？我能够访问 Azure AD Graph API 以获取每个特定目录的用户/组信息，但是，我想列出与我的 Azure 订阅关联的所有目录。

如有必要，我什至可以单独查询每个目录。我只想尽可能地列出目录。但是，查看用户、组和目录角色的输出，我还没有看到任何实际显示目录对象的显示名称的属性。

谢谢。

我在编写 MVC .net 应用程序时遇到了一些问题。我将它链接到我们的内部 AD，以便人们可以登录。但我希望他们能够使用 azure 的图形 api 重置他们的 office 365 密码。内部 AD 和 office 365 没有链接，我无法在我添加的新控制器中找到任何可以帮助我从头开始建立连接的东西。

我在控制器中的代码是：

我是 Azure AD 架构扩展/自定义属性的新手。我的应用程序几乎没有自定义应用程序属性。要获取自定义属性，我必须调用图形 API。有没有一种方法可以将我的自定义属性包含在访问令牌中，所以我不必在每次解码令牌后调用 Graph API 来获取自定义属性？

我正在使用 Azure AD 对用户进行身份验证。我想添加一些特定于我的应用程序的用户声明。我应该在 global.asax 的 Application_PostAuthenticateRequest 中执行吗？有没有办法我也可以缓存我的声明？

我正在构建一个 Web 应用程序，它应该能够通过 Azure AD 在 Office365 目录中创建新用户。

用户匿名进入该站点，但在（亲自交换）之前获得了一个令牌代码，以验证他们是否被允许访问该站点。用户输入一些联系信息（姓名、位置等）、令牌代码，当他们提交表单时，应用程序会创建新帐户。

问题：需要在 Office365 组织的 AAD 中创建对象的身份验证和权限。我已经注册了该应用程序并在帐户级别进行了身份验证。问题是，我不确定在我使用的 MVC5 模板中从哪里开始服务到服务身份验证？

我认为通常人们会通过 Office365 图形 API 使用预共享密钥请求 Azure AD 的令牌，然后在后续请求中使用此令牌？

有没有人可以分享的例子？