我正在使用Azure函数订阅Microsoft Graph notifications API,以便在租户上进行组更新。没有任何身份验证,我可以订阅并获得通知。但在启用AAD身份验证并发送订阅请求时,Graph notificationUrl validation POST调用从函数获得401响应,因此订阅请求失败。是否有一种配置方式,使得Graph始终发送承载令牌或任何其他替代方案来通过身份验证?目的是避免保留任何未经验证/允许匿名访问通知URL 他们要求通知url必须未经验证即可访问。这样,
我可以使用Azure AD B2C注册和登录网页的自定义URL用于web和本机应用程序吗?我不希望它重定向到Azure广告B2C提供的URL 它当前不可用。此功能仍在路线图上
请参阅此处的详细信息:Azure AD B2C:。如果,我们如何在应用程序中以编程方式将用户从应用程序注册/登录到Azure AD?
我已经与Azure B2C合作了几天,现在有一些问题:
它为登录重定向而创建的Url格式不正确。它包含两个问号-在url之后,在配置文件名称之后。这会导致每次登录、注销等时出现404 not found错误。例如,登录时它尝试重定向到的URL如下所示:。您会注意到配置文件名称后的第二个问号,这就是打破它的原因
如果我修复并尝试登录,它将无法识别我的全局管理员帐户的用户名/密码。它可以识别我在目录中本地创建的新用户的用户名/密码
在OnRedirectToIdentityProvider方法中,当
我如何使用AAD Graph API来确定是否允许租户接受来宾邀请?具体而言,我正在寻找有关如何实现此处列出的设置的信息:。AFAIK,Azure AD Graph和Microsoft Graph目前都不支持此功能。如果将来需要此功能,可以提交或的反馈。我直接与AAD团队确认,没有公共API可获取此数据。
我目前正在使用Microsoft LIVE 2.0 API开发一个应用程序
目前,我使用这些URL作为身份验证端点:
https://login.microsoftonline.com/common/oauth2/v2.0/authorize
https://login.microsoftonline.com/common/oauth2/v2.0/token
但是,当我将请求发送到令牌端点时,重定向URL为
https://blabla.com/accept_token.php?api_ver
现在,我们有了一个会议室预订网络系统。
当会议室预定离开时,
会议室参与者可以取消会议。
但由于会议室的参与者没有取消权限。
我们无法将会议室管理用户信息发布给所有用户。
因此,我们需要获取access_令牌以取消服务器上的会议,并使用会议管理器帐户和密码。
请告诉我如何从web服务器获取访问令牌,使用会议经理帐户和密码。关于如何获取SharePoint online/O365的访问令牌,我们可以参考以下文章:
虽然OAuth 2.0中有一个ROPC流,但我不建议您使用此流。您通常不需要存储密码
我正在使用OpenIdConnect与Azure AD进行身份验证。该应用程序托管在IIS上。几天前我收到了以下例外情况:
IDX1083:无法创建以从以下位置获取配置:“”
堆栈跟踪是:在Microsoft.IdentityModel.Protocols.ConfigurationManager`1.d_u3.MoveNext()中
30到40分钟后,应用程序自动开始正常工作。我只想知道上述异常的可能原因。这是网络问题还是具体原因。谢谢。好吧,因为错误显示无法从以下位置获取配置:https:/
我在两个域之间有双向信任,例如ABC和contoso域。ABC域用户可以读取和写入contoso域用户,但contoso域用户只能读取ABC域用户。如何实现这一点?无论集团政策如何,您都需要在ADUC中设置权限。并且contoso域的用户必须是域管理员组、帐户操作员组或管理员组的成员。或者,您可以授权用户创建/修改/删除
我想在安装后通过Microsoft Graph API访问添加?我有Windows10专业版。足够吗?它需要是Windows server
资料来源:
在Azure AD B2C web门户中,有一个页面列出所有登录活动。是否有图形API以编程方式获取此数据
我发现了以下文档,其中列出了如何通过报告API获取审核日志:
它使用以下端点:
https://graph.windows.net/<tenant>/activities/audit?api-version=beta
但是,它返回所有记录的事件,而不仅仅是登录。我找不到一份关于这个端点的文档
我发现以下文档显示了如何检索登录日志,但它似乎不适用于AD B2C:
您似乎正在
有没有办法通过API编程将清单属性“accessTokenAcceptedVersion”设置为2?由于问题已解释,这是必需的-我们的代码需要新的STS,失败原因如下:
WWW-Authenticate:Bearer error=“无效的令牌”,error\u description=“
“观众无效”
由于是旧sts:“iss”:。同样,我们也希望设置“signInAudience”属性,以便让我们的应用程序在B2C中显示:
{
...
"accessTokenAcceptedVersion":
我正在尝试调用应用注册清单中AcceptMappedClaimes=true的Azure广告保护Web Api。我正在使用机密客户端应用程序从控制台应用程序呼叫。下面是错误消息
Microsoft.Identity.Client.MsalServiceException:“AADSTS501461:AcceptMappedClaims仅支持与应用程序GUID匹配的令牌访问群体或租户验证域内的访问群体。更改资源标识符,或使用特定于应用程序的签名密钥。如果您计划使用未经验证的基于域的标识符,则会出现
我正在尝试删除特定对象id的分配。下面是我得到的错误。
我正在AD中附加我的服务主体访问级别
当我试图使用devops pipline执行相同的命令时,我得到了不同的错误
要删除访问权限,我的服务prinicpal在API权限中需要什么权限
只有阅读才能工作?还有为什么我会犯错误。任何建议
我可以重现您的问题,命令Remove azroleasignment将调用验证您传递的$objectid,因此您需要为应用程序授予目录.Read.AllAzure AD Graph(非Microsoft
我已经在Azure AD企业应用程序中使用SSO和自动资源调配设置了Zoom和DocuSign。确保角色正确映射后,即时资源调配按预期工作。但是,自动资源调配仅在首次运行时显示为添加用户。如果添加应用程序用户、更改用户的应用程序角色或从应用程序中删除该用户,则下次配置运行时不会发生任何情况。我希望添加用户,在Zoom或DocuSign时更新用户权限,或者禁用用户
文档似乎表明更新和删除应该通过资源调配来处理。我错过了什么
第二个问题是是否可以更改资源调配作业运行频率的计时。当我必须在测试之间等待
我正在使用Microsoft Azure AD应用程序令牌调用Power BI生成令牌API。在这里我总是得到403禁止的错误。我已授予Azure AD应用程序的所有权限,但仍出现错误
下面是我在Azure AD登录时生成的令牌
Eyjjjjjjkvczczczzczw5NtVpksueilcjhbgzczczczizizijjjjjjjkvczczczczcziziziziziziziziziziziziziziziziziziziziziziziziziziziziziziziziziziz
我正在开发Azure广告B2C自定义策略。由于某些需求,我需要在编辑概要文件过程中获取用户对象ID的值,以调用一些第三方API。但是,我不能让这个值显示在编辑配置文件上,即使我在AAD中添加了对象id作为OutputClaims的成员,在Base.xml中添加了UserReadUsingEmailAddress。
所以我的问题是,是否有可能在编辑配置文件页面上显示用户的对象id值?如果没有,是否有此要求的解决方法
提前感谢。编辑配置文件页面仅显示用户可编辑的属性。对象ID是用户无法编辑的属性,因
我想听听你对以下几点的看法:
我能够通过Azure门户更新所需的参数用户分配
我能够使用模块AzureAD和cmdlet Set-AzureADServicePrincipal通过Powershell更新所需的参数用户分配
我想使用模块Az(而不是AzureAD)通过Powershell更新所需的参数用户分配
你知道它是否存在一个类似Set-AzADServicePrincipal和Set-AzureADServicePrincipal的等价物吗?我尝试更新AzADServicePrinc
目前,我正在尝试从使用服务主体登录的GitHub操作读取Active Directory组的ObjectId
服务主体是具有以下附加权限的参与者:
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/read"
Directory.Read.All (Granted)
Group.Read.All (Granted)
使用Az
我正在尝试在我的客户端(ReactJS)、Express+Node.js服务器(API)和Microsoft Graph之间实现“代表”流
到目前为止,我已经从microsoft(客户端)请求了accessToken,并向我的API发出了请求
当我尝试从API向https://login.microsoftonline.com/tenantID/oauth2/v2.0/token
完全错误:
{
错误:“无效的_请求”,
错误描述:“AADSTS5002710:无效的JWT令牌:标头格式不正确。
我正在尝试将EasyAuth(aad)与SPA结合使用,SPA目前位于“localhost:8080”上,Azure函数托管在Azure({Function app})中.azurewebsites.net。目的是让SPA调用Azure函数上的安全端点。因此,我将Azure函数注册为AD中的应用程序,SPA中的身份验证重定向到Azure函数EasyAuth端点似乎正在工作,但通过登录后重定向\u url重定向回本地主机SPA不可用
我添加了http://localhost:8080将AAD注册的
我需要自动化从gallery(即Trello)添加应用程序、配置应用程序(即密码单点登录)以及为其分配用户的过程
这可以通过图形API完成吗?是。
通过在对应于Trello应用程序的目录中创建servicePrincipal,可以自动将Trello添加到Azure AD目录。默认的SSO设置是密码SSO。您还可以使用graph API分配用户(和组)。但是,分配的用户需要配置他们将在应用程序中手动使用的密码
将Trello添加到目录(创建servicePrincipal):
appId是Tre
我在应用程序注册门户()中发现了一个恼人的小错误:
每当我更新一些东西(比如重定向URI)时,隐私URL的值就会消失
复制步骤:
创建应用程序
输入隐私URL
拯救
更改重定向URI
拯救
隐私URL现在不存在
这是已知的bug吗?你能帮我修一下吗。谢谢!调查一下,谢谢!调查一下。
我正试图理解,当使用不同的Microsoft Graph REST端点和针对Azure 1.0 oauth端点(隐式流)获得的访问令牌时,预期会失败的是什么(如果有)。例如,我在Azure AD tenant中创建了一个新的应用程序注册,添加了Microsoft Graph服务,并选择了所有可用的权限-总共66个。我发现可以使用从端点获得的访问令牌对REST端点执行基本目录查询。但是,其他东西(如“我”或OneNote REST端点)会因401未经授权的错误而失败。作为旁注-我可以让所有这些场景
需要一些关于Azure AD的UI流是否可以自定义的指导,以便我们可以在身份验证之前基于UPN和Tenantid进行某种级别的授权
在我的应用程序的当前状态下,当它第一次启动时,会发生身份验证,然后是同意。身份验证流程完成后,应用程序将检查租户是否有资格获得访问权限(已授权),然后应用程序继续
当前流:身份验证>用户同意
请求的流:检查租户ID>验证访问>身份验证>用户同意
需要能够控制此流量,以便我们可以在验证之前验证用户的电子邮件地址,以确保用户可以访问应用程序。如果UPN未经授权,则基本上
免责声明:我对这一切都很陌生,所以请耐心点。:)
我的目标是创建一个目录架构扩展,目标是O365公司目录的用户资源。扩展非常简单,只有3个字符串字段。其思想是,目录中的每个用户都应该将此扩展应用于其用户对象,并为其包含的3个字段指定特定值
为此,我使用了Graph Explorer,其中我使用我的管理员租户帐户创建了一个简单的(域验证的)目录模式扩展(domain_schemaname),它有3个字段,目标是用户资源
我可以使用/v1.0/schemaExtensions确认目录架构扩展是在状态
我在我们组织的“xxx.onmicrosoft.com”Azure Active Directory中创建了一个“Web app/API”应用程序。应用程序的“多租户”属性已设置为“是”
我们将OpenID Connect(我们使用)配置为使用以下URL:
请注意,我们在URL中使用了“common”,而没有使用“xxx.onmicrosoft.com”,因为我们希望“xxx.onmicrosoft.com”之外的人能够验证和访问我们的应用程序
通过这些设置,来自xxx.onmicros
如果我在Aure AD B2C中有一个用户是基于Azure AD(企业)标识创建的(如下所述:),那么AADB2C中是否有一个属性允许我在AAD中查找(使用图形API或类似的)用户对象?我看到在AADB2C属性中有userPrincipalName和issuerUserId,但我不清楚这两个属性是否匹配存储在AAD中的任何值
谢谢
Martin对于外部帐户,外部发行人(即Azure AD)和外部用户标识符(即Azure AD用户的对象标识符)写入Azure AD B2C目录中用户对象的“User
我们有一个定制的Azure AD B2C登录/注册策略(基于SAML,默认策略不满足我们的需要)
我们可以通过以下内容定义按预期定制页面UI:
https://example.com/SAMLSignIn.html
~/common/default\u page\u error.html
urn:com:microsoft:aad:b2c:elements:selfasserted:1.1.0
本地帐户登录页面
但试图通过以下方式自定义错误页面:
https://example.com/S
我正在尝试使用SAML2.0协议在带有Azure AD的移动本机设备中实现SSO。从网络上我可以成功登录,但我找不到一种方法来做同样使用移动客户端。我尝试使用微软Azure提供的Android项目。我能够通过这个项目获得代币。但我不明白下一步需要做什么。我们以前的请求是这样的(没有Azure):
. 对该请求的调用用于向我提供一个SAMLResponse,我在重定向URL中使用了它,作为回报,它用于向我提供用户配置文件的详细信息。现在,由于Azure中的机制完全不同,我不明白在收到访问令牌后应该
我正在开发一个具有angular 6前端和.net core 2.0后端的应用程序,并尝试对其进行设置,以便我的应用程序通过Azure active directory对用户进行身份验证。问题是,当我让前端传递电子邮件和密码时,我希望.net核心后端以编程方式执行所有身份验证。到目前为止,我在网上看到的所有内容都建议将前端重定向到Microsoft登录页面,但我们将应用程序用作锅炉板项目,希望能够在后端轻松更改身份验证类型,而无需更改前端。有人知道我该怎么做吗?您可以使用。该过程类似于您在Ang
我已经创建了一个逻辑应用程序,并针对我连接的特定租户启用了“标识”(我只有一个),该应用程序为我提供了一个对象id。现在我转到Azure Active Directory(同一租户),并在“企业应用程序”中尝试搜索该id,但没有结果。另外,搜索框中的提示特别要求输入应用程序名称或应用程序id——它没有说明任何关于“对象id”的内容。我创建的逻辑应用程序没有显示任何与之关联的“应用程序id”。那么,如何确保逻辑应用程序显示在AAD中?将企业应用程序中的过滤器更改为“所有应用程序”,然后使用您的逻辑
我一直在尝试使用Microsoft Graph API访问我帐户的MFA信息。此信息包含在API的测试版中,位于https://graph.microsoft.com/beta/reports/credentialUserRegistrationDetails。虽然我可以毫无疑问地得到这个结果,但似乎没有结果,因为回答是:
{'@odata.context': 'https://graph.microsoft.com/beta/$metadata#reports/credentialUserRe
我还没有启动任何脚本,但希望首先检查是否可以使用PowerShell配置Azure AD非gallery企业应用程序,该应用程序允许我输入元数据,如实体id、回复URL、登录URL和属性信息
我需要一个开始的建议,如果你能提供一些信息的话?对于powershell,这目前是不可能的。
5月,Microsoft将ServicePrincipals端点添加到1.0 graph api中,用于(企业应用程序)。因此,使用GraphAPI,您可能能够完成它。我知道直到最近这仍然是不可能的,但是今天检查u
我在AAD中创建了许多新用户,但这只是为了访问Power BI。我不希望他们能够使用Outlook、Sharepoint或任何其他资源/应用程序
有没有办法在AAD中进行配置?理想情况下,使用组设置使其适用于组中的所有用户。创建组,将用户添加到组中
将O365订阅分配给组时,仅选择Power BI license
不要向他们分配其他许可证。除了Power BI,他们不能使用其他资源
您还可以逐个分配Power BI许可证
我正在编写一个带有角度前端的.Net核心应用程序
现在用户通过Azure Active Directory进行身份验证,该目录通过Azure门户进行配置。
用户已经成功地通过了身份验证,但作为一名开发人员,我现在还不知道哪个用户已经通过了身份验证
有很多关于如何检索用户信息的Exmaple,这是通过
. 但当我打这个电话时,我得到了一个未经授权的回复。所以一定有办法得到代币之类的东西
我拥有客户端ID、租户ID以及AppServiceAuthSession Cookie。有人能提供代码示例吗?根
我正在对Startup.cs中的Graph API进行身份验证:
app.UseOpenIdConnectAuthentication(
new OpenIdConnectAuthenticationOptions
{
ClientId = appId,
Authority = "https://login.microsoftonlin
我正在尝试使用作用域“User.ReadWrite”更新“BusinessPhone”的值,但收到错误消息“权限不足,无法完成操作”。
不过,我可以更新手机的价值。
我正在使用Microsoft Graph。我可以重现您的场景,似乎User.ReadWrite权限不足以更新BusinessPhone属性。您可以添加目录.AccessAsUser.All权限,该权限在测试后生效:
Directory.AccessAsUser.All需要管理员同意,您可以使用管理员帐户登录,然后单击授予权限按钮,
我想使用ADID/SAMAccountName/UPN从控制台应用程序中查找人员姓名和电子邮件地址,该应用程序使用其自己的凭据运行,而不是在我的帐户下运行
我将如何使用Microsoft Graph执行此操作
我正在跟进,但似乎需要管理员访问。(顺便问一下,有没有一种简单的方法可以在我公司的图表上找出管理员?)
我确实查找了LDAP查询,但域限制限制了搜索范围,我更愿意通过Microsoft Graph执行此操作。访问Microsoft Graph(即使用OAUTH客户端凭据流)需要您的应用程序
我在Azure门户的应用程序注册刀片中创建了一个Azure广告应用程序。该应用程序已被授予访问Web API(实际上是Azure AD B2C应用程序)的权限。我正在尝试使用客户端凭据(客户端id、客户端机密和资源)从Azure AD获取令牌。在我的开发实例中,Azure AD将返回我的Azure AD V1令牌,但我的测试实例Azure AD将返回我的Azure AD V2令牌
我在两个实例中使用相同的主体输入(grant_类型、client_id、client_secret和resource
是否可以使用应用程序查询Microsoft Graph API,以收集登录/注销、用户创建/删除、组成员身份更改等事件的审核日志信息。?我一直在浏览GraphAPI参考资料,但对我来说似乎并不直接
或者我们应该继续使用Azure AD Graph API吗?我们正在尝试从Office 365 AAD和Azure政府AAD获取数据。我们已经在从Office 365管理API中提取数据,该API具有Active Directory提要,但不确定是否包含我们正在查找的所有内容。您可以使用Microso
无法获取访问令牌,授予类型:密码
网址:
有人能找出哪里出了问题吗。
用户名和密码正确。建议您尝试以下方法:
网址:
请求机构:
client_id=<client_id>&
scope=https://graph.microsot.com/Mail.Read openid User.Read&
grant_type=password&
username=<email_id>&
client_secret=<client_secret
我们已经使用Microsoft Graph端点一段时间了,以获取所属组的列表
今天,如果调用此端点而不发送筛选器参数(例如,$select=id eq'GroupId'),我们会突然遇到以下错误
这对于我们获取所属组的列表非常有效,但是如果不对我们的组进行排序,我们将不得不重新编写如何获取所属组的列表。你知道为什么今天会发生这种事吗
从我们可以看出,这只会影响某些用户
关于权限,我们仅使用User.Read.All
{
"error": {
"code": "Authorizatio
我们已在委托和应用程序中获得管理员同意ServiceHealth.Read在Azure AD中我们的客户端应用程序的Office 365管理API中的权限
如果我们想调用office365管理api,我们无法确定令牌获取过程中需要哪些范围和/或资源
是否为直接令牌获取的客户端\u凭证授权方法
或授权码然后是登录用户方法的令牌
如果它用于client\u凭证grant方法,则更好,但如果必须通过auth代码,也可以
我们已经可以使用以下内容获取报告,但不知道如何允许该身份验证也涵盖Office36
实际上,我们使用GRAPH API从Jira脚本访问active directory用户和组。
为此,在Azure AD上注册应用程序后,我们使用所谓的“无用户身份验证”,即使用密钥和客户端密钥
我们理解以下几点
在向Graph API发送任何POST请求之前,我们需要获得一个有效的令牌
令牌值与就地权限相关联
如果更改权限,则需要获取一个新的令牌以包含更改
我们的问题如下:
首先,你能确认我们上面所说的是正确的吗
这是否意味着在每次请求之前,我们需要每次请求令牌以确保其有效
每个请求发送的令牌
快速解释:
我们希望将新来宾添加到尽可能精简的Microsoft团队中。通过Powershell将来宾添加到M365组似乎可行,并且来宾会出现在团队成员中,但发送给来宾的URL不会将其加入团队频道。他们会得到一个空的团队仪表板(没有频道)或“您需要访问此团队或频道的权限”,具体取决于URL。从团队中删除来宾,然后通过团队管理门户重新添加他们,效果很好
重新创建的步骤:
有一个团队已经建立并开始工作,例如“MSTeamTest”
在c:\temp中创建一个名为investments.CSV的CSV
我有一个服务结构群集,它运行的服务(无状态ASP.Net核心)不能暴露于Internet。对服务的请求通过API管理路由
Incoming request ==> https://blah.trafficmanager.net/routeName
forwarded ==> https://10.0.4.6:[port]/routeName
这在没有身份验证的情况下可以正常工作。我正在连接AAD auth,因为我们需要将其锁定到客户端注册(由于时间框提升请求要求)。我已将服务设置为
是否可以使用以下图形API客户端在Azure AD中创建嵌套组:
您可以使用附加数据在C#中创建组的步骤中添加成员
创建具有所有者和成员的安全组
明确规定。请注意,最多有20个关系,例如所有者和
成员,可以作为组创建的一部分添加
IConfidentialClientApplication-secretentialclientapplication=secretentialclientapplicationbuilder
.Create(clientId)
.WithTenantId(tenan
目前,可以使用以下REST API获取组(或工作区)的用户(Active Directory):
在我们的项目中,我们有一个特定的需求,需要访问有权访问报表的用户和组(Active Directory)
有没有一种方法可以使用Power BI REST API实现这一点
概览页面及其下方的菜单点似乎不支持此操作:
我有一个名为nsg properties.json的文件,如下所示:
{
"securityRules": [
<twenty NSG rules are here>
]
}
{
“安全规则”:[
]
}
我有一个服务主体,只有一个角色分配,它是范围/subscriptions/$SUBSCRIPTION\u ID/resourceGroups/$VNET\u RESOURCE\u GROUP/providers/Microso
我正在尝试将AWS Cognito与用户池一起使用,使用Azure AD作为身份提供者(OpenID Connect)
我在Cognito中设置了用户池,并指定了测试应用程序的回调URL(https://localhost:44381)我在Azure AD中配置了一个应用注册,该应用注册在重定向URI中具有相同的URL
在AWS控制台的“应用程序客户端设置”下,我单击“启动托管UI”对其进行测试。它显示一个页面,允许我选择配置的身份提供程序(Azure AD)。在该页面上,我可以在URL中看到它
上一页 1 2 3 4 5 6 ...
下一页 最后一页 共 46 页