Azure active directory Graph API访问被拒绝错误_Azure Active Directory_Microsoft Graph Api

Azure active directory Graph API访问被拒绝错误

azure-active-directory microsoft-graph-api

Azure active directory Graph API访问被拒绝错误,azure-active-directory,microsoft-graph-api,Azure Active Directory,Microsoft Graph Api,我们一直在使用Graph API的日历端点来读取组织中所有会议室的当前日历事件（根据应用程序的需要）我们的AAD应用程序具有基于证书的委托访问所需的权限设置 AAD许可设置我们能够读取事件，但从上周五开始，我们注意到，当我们尝试访问端点时，所有呼叫都失败，并显示拒绝访问错误消息委托权限设置示例错误： "{\r\n \"error\": {\r\n \"code\": \"ErrorAccessDenied\",\r\n \"message\": \"Access is

我们一直在使用Graph API的日历端点来读取组织中所有会议室的当前日历事件（根据应用程序的需要）

我们的AAD应用程序具有基于证书的委托访问所需的权限设置

AAD许可设置

我们能够读取事件，但从上周五开始，我们注意到，当我们尝试访问端点时，所有呼叫都失败，并显示拒绝访问错误消息

委托权限设置

示例错误：

"{\r\n  \"error\": {\r\n    \"code\": \"ErrorAccessDenied\",\r\n    \"message\": \"Access is denied. Check credentials and try again.\",\r\n    \"innerError\": {\r\n      \"request-id\": \"4e86b67f-c790-4622-8c52-5560ada18809\",\r\n      \"date\": \"2017-12-20T00:59:42\"\r\n    }\r\n  }\r\n}"
"{\r\n  \"error\": {\r\n    \"code\": \"ErrorAccessDenied\",\r\n    \"message\": \"Access is denied. Check credentials and try again.\",\r\n    \"innerError\": {\r\n      \"request-id\": \"43986eec-2b2a-4e0c-b2e6-d5cacfd9e583\",\r\n      \"date\": \"2017-12-20T01:15:04\"\r\n    }\r\n  }\r\n}"

其他信息：令牌有效负载数据：

{
  "aud": "https://graph.microsoft.com/",
  "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
  "iat": 1513731142,
  "nbf": 1513731142,
  "exp": 1513735042,
  "aio": "<removed>",
  "app_displayname": "<removed>",
  "appid": "17e23349-efa0-4b31-b04f-c8e16754bcb8",
  "appidacr": "2",
  "e_exp": 262800,
  "idp": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
  "oid": "028bc190-3171-4699-90ad-65a0b6cc9d21",
  "sub": "028bc190-3171-4699-90ad-65a0b6cc9d21",
  "tid": "72f988bf-86f1-41af-91ab-2d7cd011db47",
  "uti": "nTP0r5PyPUqQoNS3WmUKAA",
  "ver": "1.0"
}

{
“澳元”：https://graph.microsoft.com/",
“国际空间站”：https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
“iat”：1513731142，
“nbf”：1513731142，
“经验”：1513735042，
“扣押入息令”：“，
“应用程序显示名称”：“，
“appid”：“17e23349-efa0-4b31-b04f-c8e16754bcb8”，
“应用程序”：“2”，
“e_exp”：262800，
“国内流离失所者”：https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
“oid”：“028bc190-3171-4699-90ad-65a0b6cc9d21”，
“接头”：“028bc190-3171-4699-90ad-65a0b6cc9d21”，
“tid”：“72f988bf-86f1-41af-91ab-2d7cd011db47”，
“uti”：“nTP0r5PyPUqQoNS3WmUKAA”，
“版本”：“1.0”
}

我确实注意到令牌负载缺少任何作用域，但考虑到它在更早的时候工作，并且没有对我们的AAD实例进行任何已知的更改，我怀疑这是否是真正的问题，但是如果我缺少什么，请告诉我

我尝试将AAD应用程序切换到另一个同样具有管理员同意权限设置的应用程序，但这导致了与上面相同的错误。

由于令牌中没有作用域/角色，问题可能是权限尚未授予

您可以通过单击此处的“授予权限”按钮来授予租户中的权限

您还可以在我的博客中找到有关授权如何工作以及如何调试此类问题的一些信息：

租户级别出现问题，导致删除对权限的管理授权，但他们无法将其添加回。联系AAD支持团队，让他们为我们添加回管理员授权