我有一个完全客户端的网页，可以对MicrosoftASP.NET核心客户端REST服务进行ajax调用。此UI应用程序和web服务都在Azure ActiveDirectory租户中注册。我已成功使用在目录中注册的另一个ASP.NET核心应用程序进行用户身份验证，然后为web服务请求JWT令牌并根据该令牌进行身份验证。没有ASP.NET核心身份验证代码我必须在任何地方指定作用域。如果我想调用graph API，我会请求一个令牌并使用它 看看我在广告中所做的，为“user.read”请求一个令牌似

我正在使用Azure AD graph api获取组织的所有用户。使用以下get请求获取所有用户 https://graph.windows.net/contoso.com/users?api-version=1.6 我能够通过参数$skiptoken 是否可以在不使用$skiptoken的情况下触发多个此类GET请求，并且每个GET请求将返回1000个用户 例如 GET req 1将检索从1到999的用户 GET req 2将检索1000到1999年的用户 GET req 3将检索2000到

我不是azure active directory的管理员。当前，当我或任何用户手动转到azure portal并单击“授予权限”时，我的web api应用程序将能够读取目录数据 我在委托权限下设置了读取目录数据 但是，我不能对每个用户都要求相同的服务。有没有什么方法可以让我的广告宗旨的所有用户同时做到这一点？谢谢 因为您不是管理员，所以您不能代表任何其他用户授予权限。您最多只能授予应用程序与您的用户相同的权限，即“以登录用户身份访问目录”权限 但是，根据您试图读取的数据，您可能可以访问该数据

我想使用补丁请求更新用户的生日。 更新其他属性按预期工作，但在包含生日属性时，返回以下错误： 目标实体集当前不支持该请求 我已经尝试更新用户以确保权限正常 使用应用程序权限 此修补程序对/V1.0/users/{id}的请求起作用： { "givenName": "Fridas" } 但是，通过此请求机构： { "givenName":"Fridas", "birthday" : "2014-01-01T00:00:00Z } 抛出错误 { "error": {

如果我的Azure AD删除了一个用户，我希望在我的身份服务器上也删除该用户。实现这一点的最佳方法是什么？您可以。您好，Zinov，请告诉我们这个答案是否对您有帮助。如果是这样，请记住使用复选标记将其标记为答案，以便社区中有类似问题的其他人可以更轻松地找到解决方案。另外，请抽出几分钟让我们知道我们是如何使用此调查链接的-

我正在使用专门用于移动和桌面应用程序身份验证的管理员帐户为Azure AD创建应用程序注册。我打算创建一个AAD条件接收，该条件接收将应用于已创建的应用程序注册。由于某些原因，当我尝试选择应用程序时，应用程序注册在云应用程序选择中不可见 另外，当我尝试在应用程序注册中添加Web平台时，云应用程序上显示了这一点，但在尝试使用应用程序注册登录时，CA仍然未应用。我遗漏了什么吗？提前谢谢 请注意，CA策略在客户端调用服务时应用。它不直接应用于客户端公共/本机应用程序 请参阅注释提示 因为条件接收策略设

我正在使用“Microsoft.Azure.ActiveDirectory.GraphClient.dll”和“Microsoft.IdentityModel.Clients.ActiveDirectory”作为参考库 在其中，有IUser对象，该对象包含“字符串邮件{get；set；}”属性。 所以，如果我创建IUser对象并分配电子邮件，则不会分配电子邮件，也不会创建用户。 在AZURE Active Directory中，用户配置文件具有电子邮件字段。 如果我用DisplayName和Us

我有一个在azure上注册的自定义web应用程序。“SSO设置”中提到了回复URL，它工作正常。但上周我们无法访问该应用，我们发现SAML响应被发送到环回地址URL（），这是我们注册应用时应用注册下可用的默认回复URL。无法从审核日志中获取任何信息 您能告诉我们SAML响应环回地址的可能原因吗 我们尚未对回复URL进行任何更改。我们与应用程序团队进行了检查，并用新的URL更新了回复URL，它再次工作。好的，这不是一个令人满意的答案，因为我不能说是什么坏了，但我的一个应用程序今天开始这样做，我能够

关于这里提出的问题 是的，我可以使用图形查询获得完整的用户配置文件数据，但从租户的角度来看，我是否可以限制图形查询只能访问基本配置文件数据 Azure AD graph已为user.readBasic.all授予权限，这限制了此操作。我们有一个访问Azure目录的第三方应用程序来检索基本数据，以便在其用户目录中设置帐户，由于存在安全风险，我们需要将此限制为基本数据。我们不能指望第三方总是做正确的事情 因此，我需要一种方法来设置应用程序以允许user.readBasic.all.的应用程序权限（

我不能添加多个组生命周期策略。是我错过了什么还是我错了 我的房客有一项现行政策。当我尝试为同一租户创建新策略时，出现以下错误 Error : Tenant already has maximum allowed 1 policy Exception Message : Error in validating lifecycle manangement policy Exception Code : MaxExpirationPoliciesCountReached Exception Type

我正在建立一个需要访问已注册web应用程序的Microsoft流，该应用程序利用oAuth2身份验证。这样做的目的是获取一个JWT访问令牌，该令牌将用于访问web应用程序中受保护的API。我对Microsoft Flow没有太多经验，因此我想知道如何使用用户名/密码通过Auth2登录并检索令牌。您只需使用HTTP连接器获取访问令牌并使用此令牌请求您的应用程序。请参考以下步骤： 您需要知道OAuth2.0流才能请求访问令牌： 对于这一步，您可以参考这一点，我认为您已经知道如何通过邮递员中的OAut

我知道Azure AD应用程序注册不允许在重定向URI中使用通配符，RFC 6819对此非常严格。但在我们的CI/CD工作流中，我们为每个新的合并请求生成一个新的带有动态URL的审阅应用程序。因此，如果我有两个合并请求等待审核，“my-mr-1”和“my-mr-2”，我将有两个新生成的web应用程序，它们都有自己的动态URI： 有没有办法允许Azure AD中的重定向URI适用于*.domain.com/之类的所有内容 谢谢 根据本文档，您可以在URI中设置通配符，但有一些限制。 根据本文

我正在尝试调用microsoft graph api，我已经按照microsoft documnets的说明进行了如下操作： 1-在azure portal中注册应用程序 支持的帐户类型：所有microsoft帐户用户 2-通过以下参数调用“”，租户id，“/oauth2/v2.0/authorize”： client_id <- #Application Id - on the azure app overview page client_secret <-# the

我们正在尝试使用Microsoft Graph通信API，以便基于 根据请求负载，当我们尝试使用Graph Explorer和node.js示例触发相同的查询时，我们确实会得到相同的错误 { "error": { "code": "UnknownError", "message": "", "innerError": { "request-id": "9342e7a0-2d26-4e59-b7f4-c89a4a52e

我想增加azure资源的托管服务标识（又名MSI）的使用率。 当然，这在我的azure生态系统中非常有效，但我们只有一个oracle内部数据库，它使用一个简单的用户+pw凭据 Afaik有一个Oracle Identity Federation（OIF），它可以通过ADF与（非Azure）Active Directory集成 有没有一种方法可以让我在Azure广告中也使用它 干杯

我正在尝试为power bi embedded获取嵌入令牌 我正在使用“应用程序拥有数据”嵌入场景 我首先获得Azure AD的访问令牌，并在调用嵌入令牌时将其用作承载令牌 以下是我的邮递员申请详情： 请求主体 {accessLevel:“视图”} 在授权部分，我添加了访问令牌 我收到了一个403禁止响应 这是我如何获得访问令牌的 我注意到还有另一个url可以获取令牌：https://login.microsoftonline.com/common/oauth2/token url中的租户

我正在寻找一个Office365 API，它使我能够编辑特定用户的“多因素身份验证”标志。 目前，我可以通过登录azure门户网站（见附件）来实现这一点。目前，这无法通过api实现。我在azure反馈中找到了一张选票 如果需要强制执行MFA身份验证，另一种选择可能是为一组用户（例如，管理员的基线MFA）提供要求MFA的条件接收策略，并使用Graph API检查该用户是否是该组的成员。Hi，如果发布的答案解决了您的问题，请单击复选标记将其标记为答案。这样做有助于其他人找到问题的答案。

是否可以在仅在浏览器中运行的SPA和在WPF应用程序的webview2中运行的另一个SPA之间使用oauth和open id connect设置SSO 我无法使它工作。浏览器中的SPA和基于webview2的SPA在my Identity Provider上似乎不共享同一会话？webview2无法直接与边缘浏览器共享状态 创建WebView2时，您可以指定（或获取特定于应用程序的默认位置）一个用户数据文件夹，WebView2在其中存储所有状态。这包括cookie、本地存储、indexeddb等。

在租户中实例化AAD B2C似乎只需要订阅贡献者。这是一个潜在的巨大安全问题，因为它超出了正常的管理控制范围。我还没有看到/找到任何方法在它就位后禁用/删除它-是我遗漏了什么，还是这完全超出了管理控制？贡献者几乎是仅次于所有者的权限角色。看 我不认为创建B2C租户的权限对于贡献者来说太大 我们不能在AAD中禁用B2C服务。您应该更仔细地规划RBAC角色的分配。例如，分配一些权限小于参与者角色的角色。或满足您的需要。是否要删除B2C租户？否，请禁用核心租户内的服务（可用性）。向外部使用者发布的内部

我们开发了一个Windows Store 8.1企业应用程序，其中我们实现了azure单点登录。在开发和测试时，它运行良好，然后我们将该应用部署到客户端组织中，在该组织中我们有一个域加入了pc，当时AAD登录返回如下错误 电脑有互联网，但我仍然收到这个错误。如果我在没有将PC连接到我的组织网络的情况下打开应用程序（表示在家庭网络内或组织外），它将正常工作。我能够成功登录。但只有当我打开应用程序时，在组织中无法做到 客户端使用第三方广告工具和Azure广告管理Office365广告。在应用程序中

我花了一些时间让我的MVC6.NET核心网站与Azure B2C一起工作，一切似乎都很好。然而，有几个问题围绕着我似乎无法想出正确的策略的说法 假设一个用户在我的网站上注册了email，firstname，lastname。注册完成后，我想在数据库中引用该用户的UserProfile表中添加一条记录 问题1: 我应该在Azure B2C中创建“UserProfileId”声明吗？或者我应该在数据库表中创建一个引用AD用户的“ObjectId”字段吗？什么更有意义 问题2: 一旦用户注册，我将在何

使用此示例： 当在本地运行时，它会按预期工作 但是当我们部署它（azure web app）时，它仍然进行身份验证，但OpenIdConnectAuthenticationNotifications.AuthorizationCodeReceived事件没有触发 这就是代码 app.UseOpenIdConnectAuthentication( new OpenIdConnectAuthenticationOptions { Cl

我有两个工作示例解释如何实现OAuth隐式 通过ASP.NET核心WEB API在应用程序中进行流身份验证。（RESTAPI系列平台可能与此无关）。这两个例子中的每一个都解释了我想在这里对比的一个选项： 选项1：仅使用一（1）个AAD应用程序注册： 选项2：使用两个AAD应用程序注册，一个Angular SPA应用程序，一个用于ASP.NET核心API应用程序： 这两个例子都很好 问题： 注册两个Azure AD应用程序的好处是什么？当我们可以只使用一个应用程序实现身份验证时？如果客户端应用

我在租户A上部署了Azure功能。此功能可从租户B访问，租户B通过AAD应用程序注册进行保护 我需要激活多租户物业。应用程序ID URI指向租户A中的azure函数 当我将多租户属性更改为“是”时，出现以下错误： 未能更新应用程序ID URI应用程序属性。错误详细信息：应用ID URI不可用。应用ID URI必须来自组织目录中的已验证域 我知道应用程序ID URI必须位于受信任域中，但我不知道如何才能做到这一点。有可能吗？Azure功能必须位于租户A中。 我是否可以在此处/ActiveDirec

我有一个应用程序，其中当前所有用户都在我们订阅的azure AD租户中。因此，在应用程序中，要更改其密码，我们需要处理graph api。现在必须更改此设置，以便在我们的租户中不维护使用，但我们将添加google和facebook外部身份的联合，以便用户使用各自的帐户凭据。我知道我们无法从应用程序控制此设置。现在我的问题是如何在我们的应用程序中管理此密码更改/重置？如何设计这个 谢谢， mbr正如@juunas所说，您需要将它们重定向到其登录提供商的重置页面。例如，如果使用facebook帐户的

我注意到，当我在登录Azure AD后获得JWT时，JWT指定“”作为发布权限。但是，如果我使用client_凭据流获得JWT，则颁发机构为“”。拥有不同的发布权限使得很难将应用程序配置为使用这两种JWT，因为配置过程只允许指定一个权限 微软对JWT使用不同的发行机构有什么原因吗？我认为这是因为MSFT想要将这两种使用场景分开。也就是说，他们希望阻止创建在基于用户和非基于用户的安全上下文之间切换的应用程序。还有其他原因吗？您正在观察的令牌的颁发者权限值格式的更改很可能是由于令牌的不同版本，即Az

我遵循中描述的步骤 当尝试使用ROPC在邮递员中获取令牌时，我得到 { "error": "invalid_request", "error_description": "AADB2C90007: The application associated with client id '09ac92da-a796-4cd9-973b-c97756____' has no registered redirect URIs.\r\nCorrelation ID: e85003c3-cfd

我们正在使用identity server 4并允许Azure AD使用SSO。我们最近添加了对ADF的支持 如果我们想跳过Azure AD的登录页面，我们可以传递acr值，如下所示： acrValues = "idp:aad" 这适用于Azure AD，但如果我们想对ADF执行同样的操作，那么如果我们添加“idp:wsfederation”，它将不起作用。在这种情况下，它仍然显示登录页面，不自动登录 有人对此有任何指针吗？我怀疑您是通过OpenID Connect连接到AAD的，因为acr_

我正在使用graph API JAVA sdk（v1.6.0），并试图获取特定用户所在的所有组。 根据API文档，我可以做如下操作： graphClient.me() .getMemberGroups(securityEnabledOnly) .buildRequest() .post(); 但是，在java sdk 1.6.0中，UserRequestBuilder.java类下不存在getMemberGroups（）。 我遗漏了什么吗？我想他们已经用另一个memb

您好，提前谢谢 我是MS Graph的新手，需要从我们的Azure广告中检索工作信息，特别是员工ID。请参见图片。我不确定GET语句是什么。我将在Power Automation中使用查询。 在Ms Graph中，您可以通过jobtitle属性找到用户的职务信息 例如， https://graph.microsoft.com/v1.0/users/{users UPN or object id} https://graph.microsoft.com/v1.0/users?$filter=(j

我是Azure Active Directory登录的新手，我已经尝试过使用“云-单一组织”身份验证的MVC 5应用程序 在我的azure帐户中，我在默认的active directory文件夹中设置了几个用户。他们中很少有人通过向导作为“组织中的新用户”添加，这些用户来自Windows Azure Active Directory，很少有人来自实际的Microsoft帐户 当我启动应用程序并作为一个源于Windows Azure Active Directory的应用程序登录时，我获得了登录，

我们正在编写一个类似于的web应用程序 示例包括，它将访问令牌存储在UserObjectId的ASP.NET会话状态中。 代码看起来很合理，但我对“Naiver”这个名字表示担忧 有什么理由我不应该在生产中使用它吗 Vittorio Bertocci的文章描述了 文件缓存（用于桌面应用程序） 以及用于实现的数据库缓存替代方案。 然而，如果我可以使用session，我觉得使用sqldb太麻烦了 是否有人反对使用会话？如果您的场景允许使用会话（例如，当没有用户主动登录时，您不需要访问），并且您正确

如果我有一个在Azure AD注册的应用程序，我如何最好地利用学校REST API 我想有几件事我在文件中无法协调，所以请耐心听我说。具体来说，是否存在允许我从这个rest端点请求数据的权限级别？目前，我正在申请基本权限（User.Read），但根据法律规定，一个地区必须注册并共享其SIS信息。这让我相信，用户不能授予任何此类权限，相反，应用程序必须由“地区”授予权限 如果某个地区在azure marketplace中找到我的应用程序，他们是否授予权限，或者我是否可以遇到这样的情况：他们正在使

当我们获取特定客户的oAuth2授权（beta//oAuth2Permissiongrants）时，我们只获得3个授权，每个授权都有一个空范围： [{ “同意类型”：“所有委托人”， “资源ID”：“xxxxxxx-b2e2-42d8-9586-21aa24c78412”， “到期时间”：“2017-08-27T10:19:35.8989022Z”， “principalId”：无， “客户ID”：“xxxxxxx-bd4a-4ac5-ad18-ee304693a3ee”， “开始时间”：“20

如果我已成功将Azure AD B2C配置为允许使用Azure AD帐户（per）登录，我是否能够设置自定义策略以允许AAD身份验证的用户编辑其配置文件，从而覆盖默认的配置文件编辑策略？如果是，有什么关于如何解决的提示吗？我非常确定我需要创建一个新的UserJourney和一个新的ProfileEdit策略，但我不确定细节 谢谢 Martin您可以通过在配置文件编辑用户旅程中包括Azure AD索赔提供商，使Azure AD认证用户能够修改其帐户配置文件，如下所示： 认证源 localAcco

我有两台机器加入了我的Azure AD域。我有一本普通书和一本普通书 虽然两者都加入到同一AzureAD域，但其中一个接受来自该域的新用户，而另一个不接受。我想补充一点。”jessica@nkdagility.com“到机器上，以便她可以登录 我已尝试使用“AzureAD”从Windows登录添加用户\jessica@nkdagility.com“和”jessica@nkdagility.com". 信息总是“找不到工作场所或学校帐户” 以前有人经历过吗？在我重置电脑之前有什么解决办法吗 更

我是Azure新手，希望在我的一个web应用程序中使用“使用Microsoft登录”。 为此，我在portal.azure.com上创建了一个新帐户。 当转到帐户中的Azure Active Directory选项卡时，我收到此错误- 访问被拒绝 您没有访问权限 看起来您没有访问此内容的权限。要获得访问权限，请与所有者联系。 我发现了一个类似的问题，他们建议使用Azure广告的全局管理员权限登录。 但我不知道Azure AD的全局管理员权限是什么？我刚刚注册了电子邮件，这是我仅有的一个帐户。全

我正在开发一个Word加载项，并使用auth.getAccessTokenAsync进行身份验证，定义如下： 我已成功获取访问令牌，但在此处描述的“代表”流中遇到错误： 使用MSAL（Microsoft.Identity.Client）验证引导访问令牌并获取Microsoft Graph的令牌时，我收到一个错误。下面是代码和错误详细信息 代码： 如果我制作了一个常规的web应用程序（不是Office插件）并使用MSAL.js获取访问令牌，那么该令牌可以正常验证 据我所知，MSAL.js令牌的签名

我是Azure广告的新手。使用Azure广告访问令牌的最佳实践是什么 0Auth和JWT令牌之间有什么区别？我应该使用哪个令牌来遵循最佳实践 我使用下面的代码获取令牌。是否需要将其转换为0Auth令牌 var AzureData = await DependencyService.Get<IAuthenticator>() .Authenticate(App.tenanturl, App.GraphResourceUri, App.Appl

我正在学习教程“从服务管理产品权利” 在第3步中，请求访问令牌的调用返回404错误 步骤1:在Azure门户中 创建了新的WebApp，给它起了一个名字，并接受了所有的默认设置 选择默认广告目录并注册应用程序（使用 应用程序URL作为登录URL） 抓取AP ID（应用程序ID）并创建应用程序密钥（应用程序秘密） 更新了清单，按说明替换了IdentifierURI “标识符”：[ "", "", "" ], 步骤2:在MS DevCenter中 在“服务->产品收集和购买->客户ID”中添加了

我正在尝试使用InTune管理加入Azure AD的设备，因为没有本地Active Directory，所以无法访问组策略。我需要能够完全锁定Windows 10 PC，这样用户就无法访问命令提示符（CMD）或Regedit之类的东西，从而导致电脑出现任何问题 我可以在InTune中看到我可以限制访问“设置”部分等，但似乎没有任何限制上述应用程序的内容 例如，想象一下，电脑在一所学校里，它们需要被完全限制，这样就不会有麻烦的用户打扰它们 是否有人知道使用InTune是否可以做到这一点？如果可以，

我从Azure函数调用同一Azure订阅（同一Azure租户ID）下另一Azure函数（http触发器）的端点 所以现在我有了目标Azure函数的“TenantID”和“ClientID”，但我没有它的密钥。是否可以在没有密钥的情况下生成令牌 string authority = string.Format(CultureInfo.InvariantCulture, authorityUri, tenantId); AuthenticationContext authContext

我的应用程序是多租户的，并在AAD中注册，以访问具有sites.ReadWrite.All用户授权权限/范围的站点 在一些租户中，OAuth令牌获取在获得用户同意的情况下非常有效，正如预期的那样，但对于其他租户，如Microsoft公司租户，则需要管理员同意 这是没有记录的行为吗？管理员是否可以在作用域上添加明确的同意要求 在我的租户上工作，但在使用常规microsoft用户帐户的microsoft.com租户上不工作。Azure AD中有一个禁用用户同意的设置 需要管理员同意的组织很可能已经这

我正在寻找一些订阅级别的RBAC角色，类似于“Reader”，但与Reader不同，它不应允许访问密钥Vault机密和Azure存储blob密钥。订阅级别是否有此类角色 类似于“Reader”但与Reader不同的是，它不应允许访问密钥保险库机密和Azure存储blob密钥 在您的情况下，阅读器角色是合适的 要访问azure keyvault机密/密钥/证书，用户需要在访问策略中分配相应的权限，如获取、列出、设置、删除。如果没有这些权限，他将无法访问它们。但您应该注意，不要将用户指定为所有者/参

我想按照Microsoft的说明使用Microsoft Graph v1.0而不是Azure Graph Api。不幸的是，我看不到允许用户重置密码的可能性 此外，我想发现使用graph API重置自助服务密码的可能性。我的目的是为用户创建重置密码的自定义页面。应用程序身份验证将使用ROPC方法构建 您可以使用更新用户的passwordProfile属性来重置用户密码 例如： PATCH https://graph.microsoft.com/v1.0/users/{id | userPrinc

我一直在努力打造一个用户旅程，将LinkedIn社交帐户与现有的本地AAD B2C帐户链接起来。我使用以下内容作为指导： 当我在Microsoft帐户（即OpenIdConnect）中进行配置时，一切都能正常工作，因此我相信我的UserTraveley部分是正确的 当我尝试使用LinkedIn OAuth2 ClaimsProvider时，它总是失败，并出现一般错误： AADB2C90289: We encountered an error connecting to the ident

我们正在为Power应用程序开发一个自定义连接器。此连接器基本上使用Dynamics Rest API的post、get、patch和delete方法。对于身份验证，我们使用前面提到的AAD 我们正在编写swagger JSON并上传文件以创建/更新定制连接器，之后我们必须提供CRM URL、客户机ID和客户机机密 在自定义连接器开始抛出授权令牌已过期的错误之前，一切都进展顺利 { "status": 400, "source": "https://unitedstates-002.to

我正在将“本地WinForms应用程序”迁移到用ASP.NET核心编写的“多租户SaaS应用程序”。SaaS应用程序将由多个租户使用，而这些租户不会看到彼此的数据。在我们的传统产品中，用户配置文件和凭据存储在每个客户的数据库中，客户可以根据自己的需要在系统中添加/删除用户 在web环境中，通过将用户配置文件和凭据与应用程序数据本身分离，身份提供者似乎是建议的路由。然而，我们的大部分数据都与用户ID相关联，因此了解哪个用户创建了记录是很重要的 现在，在Azure广告中，安装程序会将所有客户的所有用

我在Azure AD中安装了一个应用程序，并授予它用户访问用户资源的授权 在授权请求中，我还添加了范围，根据文档，该范围允许应用程序与用户资源交互（在授予的权限范围内），而无需用户权限 我在应用程序中添加了一个client_secret，并尝试访问Graph API和查询用户的资源。我使用client\u凭证流作为应用程序这样做。此操作失败，返回未经授权的响应 我进一步研究发现，使用客户端凭据流时，只有应用程序权限 那么，为什么脱机访问范围？作为应用程序访问时，这是否不起作用？应用程序权限太广，

我正在使用IdentityServer4（IS4）连接到AzureAD进行身份验证。我已经在AzureAD上创建了应用程序，并使用了正确的ClientID和租户ID 我在登录时遇到以下错误： [15:13:04 Information] Microsoft.AspNetCore.Authentication.OpenIdConnect.OpenIdConnectHandler AuthenticationScheme: OpenIdConnect was challenged. [15:13: