Access_denied资源所有者密码凭据在Azure AD B2C中的流

Question

我在下面关注了这篇文章，但是从“测试用户流程”部分得到了以下错误：

https://docs.microsoft.com/en-gb/azure/active-directory-b2c/configure-ropc

HTTP/1.1 400 Bad Request
Cache-Control: private
Content-Type: application/json; charset=utf-8
Server: Microsoft-IIS/10.0
x-ms-gateway-requestid: fd437d7a-fd0e-42bf-adcf-0969f5dcf74d
X-Frame-Options: DENY
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Set-Cookie: x-ms-cpim-trans=; domain=mytenant.b2clogin.com; expires=Tue, 29-Jan-2019 13:35:09 GMT; path=/; secure; HttpOnly
Date: Wed, 30 Jan 2019 13:35:08 GMT
Content-Length: 217

{"error":"access_denied","error_description":"AADB2C90225: The username or password provided in the request are invalid.\r\nCorrelation ID: 9b3c19e2-6084-4bcd-b7d3-aab8d2c34dd9\r\nTimestamp: 2019-01-30 13:35:09Z\r\n"}

请求已发送：

POST https://mytenant.b2clogin.com/mytenant.onmicrosoft.com/oauth2/v2.0/token?p=B2C_1_ROPC_Auth HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Host: mytenant.b2clogin.com

username=myemail&password=password&grant_type=password&scope=openid myappId offline_access&client_id=myappId&response_type=token+id_token

我是全局管理员，但是我可以创建用户流，注册应用程序等。

我正在使用Fiddler发送请求，因此它与WebApp / WebAPI无关。

的用户名（例如myname@myfirm.com）和密码是正确的，这是用来登录天青门户来设置样品。

有什么主意吗？

更新

请注意用户，我使用的是在我公司的Active Directory用户角色，但用户与新创建的AD B2C租户关联的Active Directory下一个全球性的管理https://docs.microsoft.com/en-gb/azure/active-directory-b2c/tutorial-create-tenant

Answer 1

the Configure the resource owner password credentials flow in Azure AD B2C article描述的资源所有者密码凭据流并非旨在验证管理员用户的凭据。

它旨在为（a）created as a local account using the Azure AD Graph API或（b）使用注册流程进行了自身注册的最终用户认证凭据。

Answer 2

基本上，如果您遵循文档here。您会收到此错误消息，因为步骤4中的说明有误。

在您的TrustFrameworkExtensions文件中。您应该在本地帐户登录ClaimsProvider-> TechnicalProfiles

中包含类似内容

<div class="class-collapse">div1</div>
<!-- removed divs 2 -->
<div class="class-collapse">div3</div>
<div class="other-class">div4</div>
<div class="other-class">div5</div>
<div class="class-collapse">div6</div>
<!-- removed divs 7 8 -->
<div class="class-collapse">div9</div>
<div class="other-class">div10</div>
<div class="class-collapse">div11</div>
<!-- removed divs 12 13 -->
<div class="class-collapse">div14</div>

请注意，resource_id应该是IdentityExperienceFramework应用程序（客户端）ID，而不是Microsoft文档中所述的ProxyIdentityExperienceFramework 。我已经在GitHub上提交了一个更正请求。