ADAL 到 MSAL - 权限不足,无法完成操作
我有一个场景,我需要将应用程序从 DevOps 管道添加到安全组。我有以下工作正常的场景:
- 在管道中,我有以下 powershel 脚本:
if (!((Get-AzADGroupMember -ObjectId ((Get-AzADGroup -DisplayName $groupName).id)).DisplayName -eq $appName)) {Add-AzADGroupMember -MemberObjectId (Get-AzADServicePrincipal -DisplayName $appName).id -TargetGroupObjectId (Get-AzADGroup -DisplayName $groupName).id} else {"member is already part of the group"}
- 服务主体拥有 Azure Active Directory Graph 的 API 权限和 Directory.Read.All 权限:
- 服务主体是安全组的所有者:
问题是 Azure Active Directory Graph 处于弃用路径,因此我将权限更改为推荐的 Microsoft Graph 权限:
但现在我收到“权限不足,无法完成操作”。错误
请有人建议我还需要配置什么才能使其正常工作吗?
谢谢。
1 个答案:
答案 0 :(得分:0)
虽然 AAD Graph 处于弃用路径,但 MS Graph 和 AAD Graph 的权限不能混淆,它们是不一样的。
可以使用fiddler4捕获Powershell Az cmdlet的请求,发现它其实在调用AAD Graph而不是底部的MS Graph。
当我们使用访问令牌调用官方API时,API需要验证访问令牌是否有效。
有一个名为 aud 的声明,表示您正在调用的资源。当您在 Azure AD 应用程序中分配 MS Graph 权限(例如:https://graph.microsoft.com/user.read),但您调用的资源是 AAD Graph https://graph.windows.net/ 时,MS Graph 权限肯定不会包含在访问令牌中.而此时所需的权限应该是https://graph.windows.net/user.read。这就是您收到错误权限不足,无法完成操作的原因。
因此在这种情况下,您应该继续使用 AAD Graph 权限。
不要担心 AAD Graph 的停用。在那一天之前,MS 应该能够提供从 AAD Graph 到 MS Graph 的迁移或其他方式,使其仍然可以正常工作,而无需用户做太多事情。
相关问题
- ActiveDirectoryClient 2.0 - 没有足够的权限来完成操作
- 权限不足,无法完成操作-图形API
- Microsoft Graph-me / ownedObjects-权限不足,无法完成操作
- Azure AAD和Graph API:权限不足,无法在分配许可证时完成操作
- “权限不足,无法完成操作。”在Azure中
- 权限不足,无法完成操作-Azure Active Directory
- 通过Web API控制器读取Azure AD组失败,显示“权限不足,无法完成操作”
- ADAL 到 MSAL - 权限不足,无法完成操作
- 权限不足,无法完成操作(Azure AD 问题)
- Authorization_RequestDenied。权限不足,无法完成操作。图 API
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?