问题标签 [microsoft-account]

我正在使用 OpenID Connect，我需要请求用户电子邮件。我创建了 AAD 应用程序并启用了所有可能的范围/权限（仅用于测试）。

但是，每当我请求范围“openid 电子邮件”并且用户同意时，我总是会收到 access_denied 错误。任何人都可以解释为什么会这样吗？

我的请求：

当用户同意时，我收到以下代码 302 的响应：

但是，重定向位置是

我在工作中安装了 Visual Studio 2017 Enterprise，并且我有一个用于它的工作帐户。我以为我可以在同一台机器上并排安装 Visual Studio 2017 Community 并在我的个人帐户下使用它。

我已经尝试将我的帐户添加到 Visual Studio，但似乎在一个帐户中退出会导致在另一个帐户中退出。

是否可以在没有任何切换或帐户链接的情况下将企业帐户用于企业帐户和将个人帐户用于社区帐户（例如，如果我有两台独立的 PC）？如果是的话，那该怎么做呢？

AAD v2 端点的文档https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-v2-limitations提到了对服务和 API 的限制。它还说“除了支持您自己定制的 Web API 和服务之外，未来还将添加更多 Microsoft 在线服务。”

是否有关于何时添加对 Azure 资源管理器服务的支持的任何信息？如果没有，应用程序是否可以通过 AAD 和 MSA 帐户对用户进行身份验证并代表用户访问 Azure 资源管理器服务？

我的客户正在使用 Azure AD 作为其租户的 IdP 构建大量应用程序。大规模管理对他们来说将是一个挑战，因为他们有不同的密钥在不同的时间到期。
他们如何监控大规模生成的密钥？

注意：我最初的想法是通过 Graph 提取数据并放入 Splunk/PowerBi 之类的监控工具中，但无法通过https://graphexplorer.azurewebsites.net/#找到图表信息。 这是通过 aad.portal.azure.com 从日期列表视图中公开的吗？

因此，我正在开展一个项目，以将以前作为 Azure 移动服务托管的应用程序重新部署为 Azure 移动应用程序。所述应用程序具有前端（在 Azure 中托管为 Web 应用程序）和后端 API（这是移动应用程序），直接从前端的 javascript 调用。升级一直进展顺利，直到我开始研究 Microsoft 帐户身份验证部分。按照...的说明进行操作

1. https://docs.microsoft.com/en-us/azure/app-service-mobile/app-service-mobile-net-upgrading-from-mobile-services

2. https://docs.microsoft.com/en-us/azure/app-service-mobile/app-service-mobile-how-to-configure-microsoft-authentication

...让事情大多滚动。我的应用程序已在 Microsoft 帐户开发人员中心注册，我指定了遵循“https://{{my_backend_mobile_app_name}}.azurewebsites.net/.auth/login/microsoftaccount/callback”格式的重定向 URI，我配置了 Microsoft 身份验证/Authorization 在 Azure 中我的移动应用程序的相应刀片中，使用 Microsoft 帐户开发人员中心的 ClientId/Secret。当我测试它时，一切都很顺利：我可以转到我的应用程序的前端并单击“登录”按钮，一个新窗口打开，其中包含 Microsoft 的 Login.Live 站点，提示我使用 Microsoft 帐户登录，我这样做成功并被重定向到 Microsoft 帐户开发人员中心中指定的重定向 URL，它在查询字符串中附加了代码和状态值。

但是，当我被重定向时显示的页面是“您无权查看此目录或页面”。如果我复制 URL，打开一个新选项卡，将其粘贴并按 Enter，它会将我带到“您已成功登录”页面。但是，这两种方法都不会让我回到我的应用程序的前端，它会让我登录并继续进入该站点，因为一切仍在为登录而打开的新窗口中发生。如果我关闭该窗口，身份验证过程会看到作为登录的“取消”并要求我再次登录（这只是重复上述过程）。如果我让窗口保持打开状态并返回带有我的前端站点的窗口，它仍在等待登录过程的响应。

所以这引出了我的主要问题：如何让 Microsoft 帐户身份验证过程实际将登录响应返回到我的前端站点而不是登录窗口？

旁注，我已经将前端和后端的 SDK 从移动服务更新到移动应用程序。这样做时，我必须在我的后端应用程序中添加一个 OWIN 中间件（根据上面链接 #1 中的说明，在“更新服务器项目”标题下）。我目前的假设是，此 OWIN 中间件未正确配置身份验证，并且妨碍了回调正常工作；因此，我在搞乱这app.UseAppServiceAuthentication(new AppServiceAuthenticationOptions());件作品。

我用 C++ 编写了 EWS 应用程序。目前支持 Basic 和 NTLM 身份验证，现在正在尝试支持 OAuth 身份验证

由于它是 C++ 应用程序，我不能使用 .NET AcquireToken，所以我需要发布以下 OAuth 身份验证请求

发布https://login.microsoftonline.com/b9bd2162xxx/oauth2/token HTTP /1.1

内容类型：application/x-www-form-urlencoded

资源= https://tailspin.onmicrosoft.com/surveys.webapi

&client_id=87df91dc-63de-4765-8701-b59cc8bd9e11

&client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer

&client_assertion=eyJhbGci...

&grant_type=授权码

所以我的问题是，如果我正在构建请求，我怎样才能获得 client_assertion 字符串？是否有任何 API\开源库可以使用 .pfx\X.509 证书获取此字符串？

我们正在使用 ADAL Mac 库进行身份验证。使用此库时，我们收到 300 错误（AD_ERROR_CACHE_MULTIPLE_USERS），其描述如下： The token cache store for this resource contains more than one user. Please set the 'userId' parameter to the one that will be used.

这什么时候发生？应该如何处理这种情况？

今天早上，Cloud Explorer 要求我重新进行身份验证（似乎每隔几天！），但我无法输入我的凭据。重新验证的链接现在什么都不做，当我单击“管理帐户”然后“重新输入您的凭据”时，我得到：

'Microsoft.IdentityService.Clients.ActiveDirectory.Authenticator' 的类型初始化程序抛出异常

这意味着我无法继续我正在做的工作（调试我的云服务！）。

这是我得到的：

有没有人见过这个或知道如何解决它？我已经尝试重新启动并重新启动 VS2017，但没有任何乐趣......

在没有将身份存储在数据库中的情况下，我无法使 Microsoft 帐户身份验证正常工作。这一切都是在最新的 VS 2017 安装和最新的核心 2.0 版本中完成的。我遵循本指南并设法让它工作。问题是该指南假定身份将被添加到应用程序使用的数据库中。这是因为示例使用：

在 Startup.cs 中：

这是我想避免的。我的目标是使用 MS 帐户进行身份验证并使用提供的声明（基于声明的授权）进行授权，但不需要示例中的整个数据库结构。

我已经为此苦苦挣扎了一段时间。我尝试为用户登录实现一个cookie存储（尽管据我所知MS帐户有一个）在示例的回调方法中添加 Signin 调用。回调点（在 OnGetCallbackAsync 中）的 User 对象具有我需要从 Microsoft 帐户获取的所有声明。但是，当重定向发生时，用户对象为空（没有声明，未登录）。

我想问：这里合适的方法是什么？我的理解是 MS 帐户登录已经设置了一个 cookie，因此删除联系数据库的代码应该就足够了；这不正确吗？如果是这样，我需要以上述方式对用户进行身份验证的步骤是什么？

我非常感谢您在这方面的帮助。

我们无法在 AAD 上设置 BBcall 属性，是不是设计使然？

例如 ：

现场广告：

https://morecovery.blob.core.windows.net/20170911/1.png

AAD：

https://morecovery.blob.core.windows.net/20170911/2.png

谢谢。