当调用者是某种类型的守护进程时,我们正在使用Azure AD中的客户端凭据流来验证我们的API。我们的安全政策规定,当访问尝试失败时,我们需要进行审核。在大多数情况下,我们可以满足大多数安全部门的要求,除非获取令牌请求失败。这可能是由于多种原因造成的,例如无效的客户端ID,机密或证书。我们用于请求令牌的端点是https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token。
我尝试了一些示例,这些示例演示了如何将无效参数传递给访问令牌请求。然后,我检查了Azure AD租户的审核日志和登录监视部分,希望看到某种类型的拒绝授权消息。令我惊讶的是什么。
我曾尝试在Microsoft docs和Google上搜索客户端凭据流审核,但找不到与审核失败的访问令牌请求有关的任何信息。
当访问令牌请求未返回承载令牌时,我们可以查看门户中的某个地方吗?
答案 0 :(得分:0)
AFAIK,Azure AD不在日志中放置访问令牌请求。您可以在代码中调用端点时添加访问令牌请求的内容。
Audit logs:通过审核日志活动报告,您可以访问在租户中执行的每个任务的历史记录。审核日志的示例包括对Azure AD中任何资源所做的更改,例如添加或删除用户,应用程序,组,角色和策略。
Sign-in logs:通过登录活动报告,您可以确定谁执行了审核日志中报告的任务。
答案 1 :(得分:0)
我找到了答案。如果将来有人需要,Azure会在“服务原理登录”部分中记录“成功与失败”访问令牌请求。 Click here for screen cap of logging location
