Azure active directory 如何使用saml断言获取MS graph api的授权令牌_Azure Active Directory_Microsoft Graph Api_Saml_Bearer Token

Azure active directory 如何使用saml断言获取MS graph api的授权令牌

azure-active-directory microsoft-graph-api

Azure active directory 如何使用saml断言获取MS graph api的授权令牌,azure-active-directory,microsoft-graph-api,saml,bearer-token,Azure Active Directory,Microsoft Graph Api,Saml,Bearer Token,我们使用sso登录到Office365和我们自己的内部网。sso进程返回saml2断言，我的代码可以使用该断言我希望使用它来获得访问graph api的授权令牌我已按照这里的说明：最后出现错误：“AADSTS50107:请求的联合域对象“”不存在。” 我得出的结论是，这是因为我们的Office365域是托管的，而不是联邦的，并且这个流不能与托管域一起工作（尽管不清楚为什么不能）我也遵循了这里的说明：最后我出现了一个不同的错误：“AADSTS700001:Application:spn:

我们使用sso登录到Office365和我们自己的内部网。sso进程返回saml2断言，我的代码可以使用该断言

我希望使用它来获得访问graph api的授权令牌

我已按照这里的说明：

最后出现错误：“AADSTS50107:请求的联合域对象“”不存在。”

我得出的结论是，这是因为我们的Office365域是托管的，而不是联邦的，并且这个流不能与托管域一起工作（尽管不清楚为什么不能）

我也遵循了这里的说明：

最后我出现了一个不同的错误：“AADSTS700001:Application:spn:xyzzy需要为代表流选择“aio”可选声明，以使用颁发给该应用程序的SAML令牌”。这里它所指的应用程序是SSO中使用的应用程序，当我们最初获得saml断言时（而不是用于获得graph api的授权令牌的应用程序）

我不知道如何选择加入“扣押令”可选索赔。此声明未出现在应用程序配置的列表中

如果您能帮助我克服这两个错误中的任何一个，或者为我提供任何其他方法，使我能够使用saml断言获得graph api的授权令牌，我将不胜感激

我尝试使用的saml断言示例如下：


https://sts.windows.net/nnnnnnnn-187d-415b-87e6-nnnnnnnn8a01/
mEWbTMcoHmsT1bcWK2/NNNNNN M+tpKxEgjXCo7uU=
2.2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 Djokkbnrkwqao+VaUeZTUA==
Miidbccae2gawibagiqmcjcgwf4l5xppeowbgkkkqhkig9w0baqsfadtmswkqydvqdeyjy2nvdw50cynnnnjnb250cm9slndpbmrvd3ubmv0mb4xdtte5mtextantawmdawmboxdti0texndawmbowwwwwwwwwwwwwwwkkzzzzy9wjv3wk3w3b3d3d3d3dzl5dzlDc5lDc5dCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdCdC（2）一个单词（2）是一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词，一个单词WUAA4IBAQA6GQ2.该研究是一个研究。2.该研究是一个研究。2.该研究是一个研究。2.该研究是一个研究。2.该研究是一个研究工具+该研究是一个研究。该研究是一个研究。2.该研究是一个研究。2.该研究是一个研究。2.该研究是一个研究是一个非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非非EXNTZ
NNNNNN AVITA3FPQ9BQTU6D3ULYSIFOXJMX_je3u-k
编号：nnnnnnnn-900b-4a82-b65f-3975nnnnnnnnnnnn
nnnnnnnnnnnn-187d-415b-87e6-295nnnnnnnnnnnnnnnnnn
nnnnnnnnnn-2111-48e1-ac4b-726nnnnnnnnnnnnnnnnnnnn
nnnnnn。nnnnnn@nn.nnng
nnnnnn
nnnn
nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
https://sts.windows.net/nnnnnnnn-187d-415b-87e6-295e9nnnnnnnn/
http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
urn:oasis:name:tc:SAML:2.0:ac:classes:Password

您能重新表述您的问题吗？我想你是在说：你想创建一个使用graph API的应用程序，使用当前登录的用户权限。这是正确的吗？是的，那是正确的。我试过两条不同的路线，每一条都遇到了路障。我正在寻找一条绕过路障的路，或者另一条路线。FWIW我正在用Java编程。@cmgharris您能分享有关sso和intranet设置的更多详细信息吗？您还可以共享saml2断言吗？@Alfredo Revilla，我添加了一个从SSO收到的saml2断言示例，我正在尝试使用它。零件模糊了。关于我的sso和intranet设置，我不确定您想知道什么-您能更具体一点吗？@cmgharris您如何获得saml令牌？如果它以交互方式使用浏览器，如中所述：您可以发出OAuth请求以获取API的访问令牌。当浏览器重定向到Azure AD以对用户进行身份验证时，浏览器将从SAML登录获取会话，用户无需输入其凭据。