问题标签 [azure-identity]

即使 ChainedTokenCredential 允许按顺序尝试多个 TokenCredential 实现，直到其中一个 getToken 方法返回访问令牌，但它只能处理身份验证错误而不能处理授权，即，它将抛出 403 错误并且不会自动切换到其他可用的身份验证，如果未定义 RBAC 权限。如果系统分配的托管身份没有 RBAC 权限，ChainedTokenCredential 不会从系统分配的托管身份切换到用户分配的托管身份

下面是神器细节

我尝试使用身份验证；
credentials=ServicePrincipalCredentials(client_id=client_id,secret=client_secret,tenant=tenant_id) 以及

但我收到以下错误：
“ServicePrincipalCredentials”对象没有属性“get_token”。你的意思是：'set_token'？

您能否解释一下问题的原因以及如何解决？

提前致谢，

我的许多（机密）应用程序都通过客户端凭据流相互通信。
他们从 Azure Identity 平台请求一个令牌，并使用此令牌对另一个应用程序进行身份验证。
前段时间我使用客户端机密来执行此操作，但后来我读到不建议将其用于生产环境。
出于这个原因，我改为使用有效期更长的自签名证书。
这些证书是我自己使用 Azure Keyvault 生成的。但是，也不建议这样做。
Microsoft 声明，在生产环境中，您应该使用由官方 CA 签名的证书。

如果我现在使用 Lets 加密，这将在三个月内到期，这也不是一个很好的解决方案。

我的问题：

• 为什么不建议在生产环境中使用客户端密码？
• 为什么自签名证书有问题？我在 HTTPS 方面确实理解这一点，但如果将其用于客户端凭据流，安全漏洞在哪里？就我而言，我是应用程序和应用程序注册的所有者。
• 我是否需要购买有效期为一年的证书才能“以正确的方式”进行操作？

您在这里有任何最佳实践的来源吗？

Azure Functions 应用中似乎缺少 System.Management.Automation.PSCredential。

作为业务流程的一部分，我需要在 Exchange Online 邮箱中查询属性“litigationHoldEnabled = $true”，以便每天运行。

我在 KUDU 的调试中运行了以下命令，它终止了该过程：
$session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri "https://ps.outlook.com/powershell-liveid?BasicAuthToOAuthConversion=true" -Credential $credential -Authentication Basic -AllowRedirection
我的代码在我的 PC 上本地的 PS 中工作。我将 ExO v2 模块添加到 functionapp 的 wwwroot。得到以下红色：

Write-Host : Win32 内部错误“句柄无效”0x6 在设置控制台输出缓冲区的字符属性时发生。请联系 Microsoft 客户支持服务。

我正在尝试使用以下模板部署 api 版本：

当我跑

我得到如下空响应。

谁能告诉这里有什么问题。

提前致谢！

当前授权实现为：

1. 在 react.js 中开发的单页应用程序 (SPA)，将用户名/密码从登录页面发布到 Web API 并等待身份验证令牌。
2. Web API 没有实现标准的身份提供者，如果用户有效，则从 LDAP 验证用户名/密码，它会创建一个加密的身份验证令牌，将其保存在数据库中，然后返回给 SPA。
3. SPA 一旦获得令牌然后移动到主页并进一步使用身份验证令牌进行所有调用。
4. Web Api 首先为每个调用验证令牌，如果它有效则继续，否则拒绝为未经授权的用户。

所有这些都工作正常，但现在我们有一个要求，我们必须将 Azure Active Directory 与 LDAP 一起使用。Web API 有什么方法可以验证来自 AAD 的用户名/密码，如果有效，则创建与现在创建相同的令牌并返回 SPA？

请在这种情况下帮助我。谢谢。

我正在尝试部署 k8s aad pod 身份。但是在部署 AzurePodIdentityException 时，我遇到了以下错误

模板如下。

我在这里做错了什么。卡了将近一个月。

问题

我将使用 MVC .NET6 开发一个 Web 应用程序。要求是我需要使用 Asp.net 核心身份同时对本地数据库和 Azure Active Directory 中的用户进行身份验证。授权部分很简单，目前不需要策略、角色或声明。[Authorize]一旦认证成功，我只需要使用该属性。

UI 登录页面将有一个用户名/密码和一个登录按钮，用于从数据库中对用户进行身份验证。将有另一个按钮，例如Azure Sign In用于从 azure 进行身份验证并重定向到 Microsoft 页面以获取凭据。

我试图找到示例代码或类似示例，但找不到。

请帮助我实现这一目标。

谢谢。

我正在尝试上传和列出从共享点到使用 Microsoft Graph Client 的文件。我按照以下文档进行操作。

文档 URL https://docs.microsoft.com/en-us/graph/sdks/choose-authentication-providers?tabs=Java

这是我的代码示例和异常日志。

代码：

异常日志：

有人可以帮我解决这个问题吗？

我正在尝试从 Windows 服务向 Azure AD 进行身份验证，因此我尝试使用 MSAL.NET 库和 acquiretokenbyIntegratedWindowsauth 获取访问令牌，并且它在本地运行良好。目的是将此 Windows 服务迁移到 azure Web 作业，我挑战从 Azure AD 静默获取包含 onPremisesSamAccountName 声明的令牌，而无需提供用户名和密码。

以这种方式获取令牌的任何帮助或解决方法。