如何使用Microsoft Graph API更改用户密码

时间:2019-11-07 11:44:48

标签: azure-devops microsoft-graph azure-ad-graph-api

我正在编写一种passwd命令行应用程序来更改Azure帐户的密码。像这样工作的东西:

> passwd someuser Passw*rd1

阅读所有文档之后,我在Azure门户中创建了具有所有所需权限的应用程序,并且即将获得访问令牌之前,我将获得应用程序授权。

问题不是获取授权代码,而是https://login.microsoftonline.com/<tenantName>/oauth2/v2.0/authorize的调用返回给我的是HTML页面。

据我了解,本页面应该为登录的用户提供委派所需权限的机会,但这是管理员用户要使用的命令。实际上,目前没有登录用户。

我想念什么?

2 个答案:

答案 0 :(得分:1)

有一个有关重置用户密码的代码示例。

$tennantid        = ''         
$SubscriptionId   = ''         
$ApplicationID    = ''         
$ApplicationKey   = ''
$TokenEndpoint = {https://login.windows.net/{0}/oauth2/token} -f $tennantid 
$ARMResource = "https://graph.microsoft.com";

$Body = @{
        'resource'= $ARMResource
        'client_id' = $ApplicationID
        'grant_type' = 'client_credentials'
        'client_secret' = $ApplicationKey
        'scope' = 'https%3A%2F%2Fgraph.microsoft.com%2FDirectory.AccessAsUser.All'
}

$params = @{
    ContentType = 'application/x-www-form-urlencoded'
    Headers = @{'accept'='application/json'}
    Body = $Body
    Method = 'Post'
    URI = $TokenEndpoint
}

$token = Invoke-RestMethod @params

$headers = @{}
$headers.Add("authorization","Bearer $($Token.access_token)")
$ResetPwd = @{
    "passwordProfile" = @{
        "forceChangePasswordNextSignIn" = "false"
        "password" = "Test123456!"
    }
} | ConvertTo-Json
Invoke-RestMethod -Headers $headers -Method Patch -Uri "https://graph.microsoft.com/beta/users/$($respons.id)" -ContentType "application/json" -Body $ResetPwd

然后使用它,上面的代码起作用。

$servicePrincipal = Get-MsolServicePrincipal -ServicePrincipalName ServicePrincipalName
$roleId = (Get-MsolRole -RoleName "Company Administrator").ObjectId
Add-MsolRoleMember -RoleObjectId $roleId -RoleMemberObjectId $servicePrincipal.ObjectId -RoleMemberType servicePrincipal

希望获得帮助。

答案 1 :(得分:0)

您在哪里称呼/authorize端点?

您可以在浏览器中这样调用它并使用您的帐户登录:

https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize?
client_id=6731de76-14a6-49ae-97bc-6eba6914391e
&response_type=code
&redirect_uri=http%3A%2F%2Flocalhost%2Fmyapp%2F
&response_mode=query
&scope=openid%20offline_access%20https%3A%2F%2Fgraph.microsoft.com%2Fuser.read
&state=12345

然后,您将在地址栏中获得一个“代码”。 使用此代码来请求访问令牌:

POST /{tenant}/oauth2/v2.0/token HTTP/1.1

client_id=6731de76-14a6-49ae-97bc-6eba6914391e
&scope=https%3A%2F%2Fgraph.microsoft.com%2Fuser.read
&code=OAAABAAAAiL9Kn2Z27UubvWFPbm0gLWQJVzCTE9UkP3pSx1aXxUjq3n8b2JRLk4OxVXr...
&redirect_uri=http%3A%2F%2Flocalhost%2Fmyapp%2F
&grant_type=authorization_code
&client_secret=JqQX2PNo9bpM0uEihUPzyrh

查看来自Request an authorization codeRequest an access token的详细信息。

相关问题
最新问题