Powrshell Set-AIPAuthentication返回“错误”:“ invalid_client”

时间:2020-11-10 14:58:31

标签: azure-active-directory

我严格遵守以下链接中详细介绍的AIP扫描仪的应用程序注册。

https://docs.microsoft.com/en-us/azure/information-protection/rms-client/client-admin-guide-powershell#how-to-label-files-non-interactively-for-azure-information-protection

但是,每次我运行以下命令时,都会收到验证错误。

    Set-AIPAuthentication -WebAppId "xxxxxx-xxxx-xxxx-xxxx-xxxxxx" -WebAppKey "xxxxx/xxx/xxxx" -NativeAppId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx"
    Set-AIPAuthentication : Unable to authenticate and setup Microsoft Azure Information Protection
    At line:1 char:1
    + Set-AIPAuthentication -WebAppId "eb10438f-d9bb-4cb1-946a-007223bcaaf4 ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : AuthenticationError: (:) [Set-AIPAuthentication], PowershellException
        + FullyQualifiedErrorId : Microsoft.InformationProtection.Powershell.AIP.Commandlets.SetAIPAuthenticationCmdLet

在Fiddler上,针对Azure AD进行身份验证时,我会看到以下响应

{
  "error": "invalid_client",
  "error_description": "AADSTS7000218: The request body must contain the following parameter: client_assertion or client_secret.\r\nTrace ID: 9859831a-e097-41df-933e-ead751464601\r\nCorrelation ID: 671215c0-0656-44bb-a4a9-fd1f4353fd37\r\nTimestamp: 2020-11-10 14:35:53Z",
  "error_codes": [
    7000218
  ],
  "timestamp": "2020-11-10 14:35:53Z",
  "trace_id": "9859831a-e097-41df-933e-ead751464601",
  "correlation_id": "671215c0-0656-44bb-a4a9-fd1f4353fd37",
  "error_uri": "https://login.microsoftonline.com/error?code=7000218",
  "claims": "{\"access_token\":{\"capolids\":{\"essential\":true,\"values\":[\"2016b1b4-bae5-44f2-abea-01dd12217771\"]}}}"
}

我错过了该指南的哪一步?以及如何在Azure方面对其进行故障排除?经过100次测试,我可以保证WebAppID,WebAppKey和NativeAppId都可以。据我所知,我无法继续进行此OAUTH代表流程的第一步。

1 个答案:

答案 0 :(得分:0)

这是因为您的AIPClient Azure AD应用不是公共客户端应用。

公共客户端应用程序是在设备(例如电话)或台式计算机上运行的应用程序。他们不被信任来安全地保留应用程序的机密,因此只能以用户的名义访问Web API(它们仅支持公共客户端流)。公共客户端无法保存配置时间秘密,因此没有客户端秘密。

请参阅第22步here

注册应用程序窗格上,指定以下设置, 然后选择注册

名称AIPClient

支持的帐户类型:仅此组织目录中的帐户

重定向URI(可选):公共客户端(移动和台式机)http://localhost

确保为重定向URI 选择“公共客户端(移动和台式机)”。

然后您可以转到Azure AD应用的清单文件,在清单编辑器中,将allowPublicClient属性设置为true

enter image description here

相关问题
最新问题