Azure active directory Sharepoint Online OAuth 2.0新O365租户的令牌类型无效_Azure Active Directory_Sharepoint Online

Azure active directory Sharepoint Online OAuth 2.0新O365租户的令牌类型无效

azure-active-directory

Azure active directory Sharepoint Online OAuth 2.0新O365租户的令牌类型无效,azure-active-directory,sharepoint-online,Azure Active Directory,Sharepoint Online,我一直在使用Sharepoint Online REST API与我的O365加载项应用程序集成，该应用程序对于我的旧O365租户来说运行良好。但是，当我尝试使用我为新O365租户应用程序获取的承载令牌调用任何API时，我遇到了一个错误 {"error":"invalid_request","error_description":"Token type is not allowed."} 是为新租户更改了身份验证

我一直在使用Sharepoint Online REST API与我的O365加载项应用程序集成，该应用程序对于我的旧O365租户来说运行良好。但是，当我尝试使用我为新O365租户应用程序获取的承载令牌调用任何API时，我遇到了一个错误

{"error":"invalid_request","error_description":"Token type is not allowed."}

是为新租户更改了身份验证令牌URL，还是其他原因

我正在使用

https://accounts.accesscontrol.windows.net/{{tenant_id}/tokens/OAuth/2

Azure Active Directory（Azure AD）的一项服务Azure访问控制（ACS）于2018年11月7日退休。此停用不会影响SharePoint加载项模型，该模型使用主机名（不受此停用的影响）

退房

请注意，您可以

SharePoint 2013、2016和SharePoint Online客户长期以来在云端、prem和混合场景中使用ACS进行身份验证。一些SharePoint功能和用例将受到ACS退役的影响，而其他则不会。下表总结了一些利用ACS的最流行SharePoint功能的迁移指南：

从Azure AD验证用户
- 以前，Azure AD不支持SharePoint进行身份验证所需的SAML 1.1令牌，ACS被用作使SharePoint与Azure AD令牌格式兼容的中介。现在，您可以使用令牌发布策略将SharePoint直接连接到Azure AD
prem或SharePoint Online上SharePoint中的应用程序身份验证和服务器到服务器身份验证–通过appregnew.aspx等完成SharePoint加载项注册
- 不受ACS退休的影响；无需更改
SharePoint加载项的低信任授权（提供程序托管和SharePoint托管）
- 不受ACS退休的影响；无需更改
SharePoint云混合搜索
- 不受ACS退休的影响；无需更改

我们在仅使用app时遇到了相同的问题，即最近创建的租户中基于

ClientID

ClientSecret

的身份验证。在我们的旧租户（创建于2013年）中，我们可以毫无问题地使用相同的身份验证方法。事实证明，新租户在

DisableCustomAppAuthentication

属性中有一个标准设置，用于禁用此类身份验证，但是可以使用以下命令覆盖：

Set-SPOTenant -DisableCustomAppAuthentication $false

资料来源：

此外：

Azure访问控制（ACS），Azure Active Directory（Azure）的一项服务已于2018年11月7日退休。这次退休并不意味着什么影响SharePoint加载项模型，该模型使用主机名（不是受此退休影响）。有关更多信息，请参见的影响 SharePoint加载项的Azure访问控制失效适用于新产品租户，使用ACS仅应用程序访问令牌的应用程序被禁用默认值。我们建议使用Azure AD app only型号，该型号为现代化和更安全但您可以通过运行来更改行为 “设置SpoteNat-DisableCustomAppAuthentication$false”（需要最新的SharePoint管理员（PowerShell）

更多详情：