问题标签 [azure-authentication]

我正在修改按计划将实时数据库复制到测试数据库的库运行手册。它在第一关就失败了；验证和选择相关的 Azure 订阅

运行手册如下所示：

我使用门户凭据刀片创建了一个名为“automationCredential”的凭据。对于用户名和密码，我提供了登录 azure 门户时使用的用户名/密码。注意：这不是学校/工作 Microsoft 帐户，而是个人帐户

我可以看出对 Get-PSAutomationCredential 的调用正在奏效，因为Write-Ouput调用显示了正确的值

但是，Add-AzureAccount 会出现以下错误：

任何指示如何获得工作证书？

创建将按需复制数据库的 azure 自动化 Runbook 时遇到问题；我创建了一个凭证并将我用来登录门户的帐户的 u/p 存储在其中。密码写在记事本中并粘贴以确保正确。

调试打印似乎表明凭据是正确的，但是执行 add-azurermaccount 时，似乎登录但没有返回订阅

删除旧测试数据库的调用失败后不久：

Remove-AzureRMSqlDatabase ：在上下文中找不到订阅。请确保您提供的凭据有权访问 Azure 订阅，然后运行 ​​Login-AzureRMAccount 登录。

如果我在命令行 powershell 中执行这些操作（唯一的区别是我在没有参数的情况下调用登录；它会提示输入凭据），那么一切都会很好

我发现一些资源表明信用是否错误，它会进行身份验证但不返回任何订阅 - 我已经仔细检查了信用并且它们是准确的

尝试使用 Azure 自动化处理 Azure Analysis Services 中的表时遇到意外错误。我遵循了一个建议使用 PowerShell 库模块 - SQLServer 和Invoke-ProcessTable. 我在 Azure 自动化中的最终代码如下所示：

不幸的是，我总是以：

此外，我已经Invoke-ProcessTable在本地测试了代码，它运行良好。使用的凭据是具有对 Analysis Services 和我们正在使用的订阅的管理员访问权限的人。

我将不胜感激任何建议。

我可以使用Get access without user从 Microsoft Graph 访问资源。但是，此方法不允许我访问需要委派权限的资源。

我还尝试使用代表用户方法获取访问权限，但它需要我的用户通过网页登录，这在我的场景中是不需要的。

是否可以生成一个具有较长生命周期（可能超过一年）的授权代码并使用该代码来请求访问令牌，然后可以使用该令牌来获取需要委托权限的资源？

注意：我知道生成一个生命周期这么长的授权码不是一个好主意，但是这个代码将被后端程序用来访问资源而不是用户。所以我不希望用户登录页面弹出。希望在 Java 中实现这一点。

谢谢！

我已经在门户中注册了 Angular 应用程序并使用 adal-angular4 ( https://www.npmjs.com/package/adal-angular4 ) 库来检索访问令牌。尝试使用标头中的访问令牌调用 Microsoft 图形 API https://graph.microsoft.com/v1.0/me时，收到错误为“访问令牌验证失败”。

我想使用托管在我的服务器上的 Web 应用程序访问 Azure 目录和订阅，但我不想在活动目录中注册我的应用程序，因为

1. 我没有权限在活动目录中注册我的应用程序
2. 我也想从我的活动目录中验证用户。

例如，以下站点允许您对任何 Azure AD 用户进行身份验证。

• https://resources.azure.com/
• https://azureiosuite.com

请帮我从哪里开始。我尝试过 Azure AD 身份验证，但它要求您在 Azure AD 应用程序中注册您的应用程序。

使用 msal.js 通过 Azure Active Directory 登录时，我遇到了获取令牌的问题。

也许我会向您描述该应用程序在几种情况下的工作方式。

I. 使用 Active Directory 身份验证自动登录已禁用。应用程序注册门户的回调设置为应用程序的主页。我使用了来自https://github.com/AzureAD/microsoft-authentication-library-for-js/blob/dev/devApps/VanillaJSTestApp/index_LoginPopup.html的代码

1. 未经授权进入应用程序
2. 单击运行 loginPopup 的按钮，登录后获取令牌。

一切正常，但我想要使用 Active Directory 身份验证进行授权

二、启用了使用 Active Directory 身份验证的自动登录。应用程序注册门户上的回调设置为"***.auth/login/aad/callback"。我使用了来自https://github.com/AzureAD/microsoft-authentication-library-for-js/blob/dev/devApps/VanillaJSTestApp/index_LoginPopup.html的代码

1. 使用授权进入应用程序并使用 Active Directory Authentication 登录
2. acquireTokenSilent 正在发送错误，例如“user_login_error：需要用户登录”。
3. 单击运行 loginPopup 的按钮，登录后出现错误，例如“回复地址 **** 与为应用程序配置的回复地址不匹配”

更新：设置 userAgentApplication.redirectUri = '****/.auth/login/aad/callback' 并运行 loginPopup 后，令牌已交付，但仍然是双重登录。

总而言之，在使用 Azure 登录后，我从 acquireTokenSilent 收到错误“user_login_error：需要用户登录”。

三、我希望应用程序的行为如下：

1. 使用授权进入应用程序并使用 Active Directory Authentication 登录
2. 获取令牌

我可以这样做吗？

要在 Azure 中运行应用程序，我需要在 Azure AD 中创建一个应用程序和一个相应的服务主体。然后我的应用程序针对这个 App/Principal 对进行身份验证。要进行身份验证，我可以在应用注册中创建一个应用程序密钥，或者我可以在服务主体中创建一个密码（以及其他选项）。从实践的角度来看有什么区别？

例如，无论 $key 是应用程序的密钥还是服务主体的密码，这段代码的运行方式完全相同（从外部）：

何时应针对应用进行身份验证，何时应使用服务主体？

问题后端网络应用程序是否可以从通过登录前端网络应用程序生成的 AAD 身份验证 cookie 接受并获取用户身份？

背景我想为 JavaScript SignalR 客户端实现 Azure Active Directory 单点登录体验，但我当前的解决方案要求用户登录两次。一次访问托管 js-client 的 Web 应用程序，然后再次访问 js-client-app 可以访问后端。

具有 SSO AAD 身份验证的所需解决方案

1. 前端（OWIN/MVC/JavaScript）
   • 用于识别用户的 AAD 身份验证 - 已实施
   • JS SignalR 客户端在服务器请求中包含 auth cookie -默认情况下有效
2. 后端（OWIN/SignalR PersistentConnection）
   • 通过 SignalR 请求中包含的前端身份验证中的加密 .AspNetCookies cookie 识别用户。
   • cookie 不被接受，并且 OWIN 的调试输出是 Microsoft.Owin.Security.Cookies.CookieAuthenticationMiddleware 警告：0：取消保护票证失败

尝试的后端 Startup.cs

当前具有不良双重登录的解决方案

1. 前端 Web 应用程序(OWIN/MVC/JavaScript)
   • Owin 处理 AAD 身份验证
   • MVC根据经过身份验证的用户生成视图
   • ADAL JS 在客户端处理用户身份验证并获取作为 cookie 添加的访问令牌 (my_access_token)
2. 后端 Web 应用程序(OWIN/SignalR PersistentConnection)
   • OWIN 通过提取在 my-_access_token cookie 中找到的访问令牌并将其添加为承载授权标头来处理身份验证
   • 通过基于经过身份验证的用户覆盖PersistentConnection 中的 Authorize 函数来处理授权

当前前端 Startup.cs

当前后端 Startup.cs

我正在尝试通过 Azure 移动应用获取 Id_token，但我收到了 mobileServiceAuthenticationToken。

我的 iOS 应用程序接收到 mobileServiceAuthenticationToken，实现如下：将 Azure AD 集成到 iOS 应用程序中

我需要 Id_token（使用算法 RS256），因为我的后端服务（java spring-boot）需要验证这个令牌，而这对于 mobileServiceAuthenticationToken 是不可能的。mobileServiceAuthenticationToken 基于算法 HS256（需要客户端密码），不允许请求 Azure AD 通过 Microsoft Graph Api 获取用户信息。

以下是微软参考的链接以获取更多信息：Azure AD 令牌参考