如何对服务主体使用Azure AD Graph API访问?
我有一个使用adal4j的Azure AD / Azure守护程序应用程序,它使用用户/密码身份验证。由于ADFS问题,我希望能够使用服务主体(客户端ID /机密)进行身份验证。这似乎适用于应用程序的Azure(非AD)部分,因为可以为相关订阅定义SP角色,但是对于Azure AD部分,我得到:
response code 403, error: Authorization_RequestDenied: Insufficient privileges to complete the operation.
...这是在第一次调用Graph API时发生的 - 我使用https://graph.windows.net范围从AuthenticationContext.acquireToken()获取有效令牌。
我的帐户是目录中的所有者。我已经尝试使用应用程序上的“授予权限”按钮,并且还尝试制作同意URL(可以正常工作)并使用它来同意在目录中具有必要权限的应用程序。似乎都没有影响到这一点。
该应用是Native应用,因为它是守护进程/服务应用,因此无法参与OAuth2同意。
如何使用SP进行身份验证来访问Azure AD Graph API?作为提醒,未更改,该应用程序与(非ADFS)用户/密码一起使用,并且SP与Azure API一起使用,而不是Azure AD Graph API。
...谢谢
P.S。我也尝试使用Azure Graph API,Microsoft现在推荐使用Azure Graph API,而不是Azure AD Graph API。相同的结果,同样适用于用户/密码信用。
对此进行修改以使adal4j脱离图片 - 这似乎更像是一个通用的Azure AD问题。以下是使用curl的问题示例:
客户端凭证令牌请求:
curl --request POST "https://login.windows.net/367cxxxx41e5/oauth2/token" --data-urlencode "resource=https://graph.windows.net" --data-urlencode "client_id=9d83yyyy08cd" --data-urlencode "grant_type=client_credentials" --data-urlencode "client_secret=secret"
客户端凭证令牌响应:
{"token_type":"Bearer","expires_in":"3599","ext_expires_in":"0","expires_on":"1491486990","not_before":"1491483090","resource":"https://graph.windows.net","access_token":"eyJ0zzzz2zVA"}
使用客户端凭据令牌的Azure AD REST查询:
curl "https://graph.windows.net/367cxxxx41e5/tenantDetails" --header "Authorization: eyJ0xxxx2zVA" --header "Accept: application/json;odata=minimalmetadata" --header "api-version: 1.6"
使用客户端凭据令牌的Azure AD REST响应:
{"odata.error":{"code":"Authorization_RequestDenied","message":{"lang":"en","value":"Insufficient privileges to complete the operation."}}}
现在,将其与(注意相同的租户ID /应用ID)进行对比:
密码凭证令牌请求:
curl --request POST "https://login.windows.net/367cxxxx41e5/oauth2/token" --data-urlencode "resource=https://graph.windows.net" --data-urlencode "client_id=9d83yyyy08cd" --data-urlencode "grant_type=password" --data-urlencode "username=bozo@clown.com" --data-urlencode "password=password"
密码凭证令牌响应:
{"token_type":"Bearer","scope":"Directory.AccessAsUser.All Directory.Read.All Group.Read.All Member.Read.Hidden User.Read User.Read.All User.ReadBasic.All","expires_in":"3599","ext_expires_in":"0","expires_on":"1491489157","not_before":"1491485257","resource":"https://graph.windows.net","access_token":"eyJ0zzzz0EXQ","refresh_token":"AQABzzzzAgAA"}
使用密码凭据令牌的Azure AD REST查询:
curl "https://graph.windows.net/367cxxxx41e5/tenantDetails" --header "Authorization: eyJ0xxxx0EXQ" --header "Accept: application/json;odata=minimalmetadata" --header "api-version: 1.6"
使用密码凭据令牌的Azure AD REST响应:
{"odata.metadata":"https://graph.windows.net/367cxxxx41e5/$metadata#directoryObjects/Microsoft.DirectoryServices.TenantDetail","value":[{"odata.type":"Microsoft.DirectoryServices.TenantDetail","objectType":"Company","objectId":"367cxxxx41e5","deletionTimestamp":null,"assignedPlans":[{"assignedTimestamp":"2017-02-24T03:25:33Z","capabilityStatus":"Enabled","service":"SharePoint","servicePlanId":"e95byyyyc014"},...
此时我怀疑,创建应用时由Azure AD默认创建的SP不包含必要的权限。我将尝试创建一个具有指定权限的新SP。这方面的例子比比皆是,但所有都集中在目标应用程序是一些神秘的LOB应用程序,而不是Azure AD。而且,正如半生不熟的门户网站通常所见,必须使用CLI来执行此操作。
</snark>
另外,我已经确认任何具有Reader角色的人都应该能够执行该查询。我已经向SP添加了贡献者和所有者,但没有效果。
另外,FWIW,我已经验证了SP在理论上具有我在门户中输入的Azure AD(和其他)权限。我想。
PS C:\> Get-AzureADServicePrincipalOAuth2PermissionGrant -objectid 'a9f9xxxx5377'|format-list -property consenttype,resourceid,scope
ConsentType : AllPrincipals
ResourceId : c569xxxxe7f0
Scope : Member.Read.Hidden User.Read User.ReadBasic.All User.Read.All Group.Read.All Directory.Read.All
Directory.AccessAsUser.All
ConsentType : AllPrincipals
ResourceId : 3318xxxx66a5
Scope : user_impersonation
ConsentType : AllPrincipals
ResourceId : 8c0fxxxx4198
Scope : User.Read.All User.ReadBasic.All Group.Read.All Directory.Read.All Directory.AccessAsUser.All User.Read
PS C:\> get-azureadobjectbyobjectid -objectids 'c569xxxxe7f0','3318xxxx66a5','8c0fxxxx4198'
ObjectId AppId DisplayName
-------- ----- -----------
8c0fxxxx4198 00000003-0000-0000-c000-000000000000 Microsoft Graph
3318xxxx66a5 797f4846-ba00-4fd7-ba43-dac1f8f63013 Windows Azure Service Management API
c569xxxxe7f0 00000002-0000-0000-c000-000000000000 Microsoft.Azure.ActiveDirectory
1 个答案:
答案 0 :(得分:0)
根据您的描述,根据我的经验,我认为问题是由两个原因造成的。
- 不在Azure门户上的Azure AD中的注册应用程序的
Windows Azure Active Directory (Microsoft.Azure.ActiveDirectory)标签中添加Required permissions的api访问权限,如下所示,并选择相关权限。 -
不为此服务主体分配
Contributor。您需要运行下面的powershell命令才能执行此操作。New-AzureRmRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName 'applicationID'或者您也可以通过Azure CLI或仅在Azure门户上参考我对另一个SO线程Cannot list image publishers from Azure java SDK的回答。
作为参考,您可以参考其他SO帖子Trouble with authorization using client_credentials Azure AD Graph API或官方文档here以及有用的blog。
希望它有所帮助。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?