使用MSAL对“ management.azure.com”进行身份验证

Question

我正在尝试使用MSAL with angular查询用户可用的租户列表。我以前曾经成功使用过adal.js。

这是请求URL：https://management.azure.com/tenants?api-version=2019-11-01
MSAL成功将承载令牌注入到请求中。
但是，我在www-authenticate中看到以下错误：

www-authenticate：承载授权_uri =“ https://login.windows.net/”，error =“ invalid_token”，error_description =“找不到访问令牌的身份。”

这个错误让我有些困惑-login.windows.net似乎是不赞成使用的身份验证流程的一部分。

我的ProtectedResourceMap中有'https://management.azure.com/', ['user_impersonation']。
我尝试将权限设置为https://login.microsoftonline.com/{tenantId}以及默认设置。 clientId，承租人等尚未从ADAL更改。

你知道这里怎么了吗？

Answer 1

对于adal（ v1.0端点），我们需要使用resource: https://management.azure.com。授权网址为https://login.microsoftonline.com/{tenant}/oauth2/authorize。

对于msal（ v2.0 endpint ），我们需要使用scope:https://management.azure.com/user_impersonation。授权网址为https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize。