我们当前使用具有联合用户符号(通过ADFS)和AD Connect上启用密码同步的AAD实例来同步AD和AAD用户帐户。门户网站上的登录将重定向到ADFS sts,并使用AD密码正确验证目录用户。
尝试使用令牌终结点针对在Azure上注册的客户端应用程序针对AAD实例实现对资源所有者的授予,这会导致密码错误(尽管使用正确的用户密码)
error_description”:“ AADSTS70002:验证凭据时出错。 AADSTS50126:无效的用户名或密码
POST to https://login.microsoftonline.com/<domain>/oauth2/token
client_id={registered app id on azure}
&client_secret={secret}
&scope=code
&username={AD user}
&password={AD password}
&grant_type=password
resource=https%3A%2F%2Fgraph.microsoft.com%2F
尝试在Azure门户上更改密码,令牌身份验证成功,直到再次从AD同步密码(启用密码写回)为止;指示同步以某种方式干扰密码,从而使AAD上的云身份验证失败。要使AAD云身份验证有效,是否需要考虑密码同步方面的任何考虑?
答案 0 :(得分:0)
我们当前使用具有联合用户符号(通过ADFS)和AD Connect上启用密码同步的AAD实例来同步AD和AAD用户帐户。门户网站上的登录将重定向到ADFS sts,并使用AD密码正确验证目录用户。
资源所有者密码授予流程不适用于联合用户。 它仅适用于没有MFA且密码未过期的纯云用户。