Azure客户端凭据授权誓言不能在Graph Mail API访问的混合设置中工作
在混合设置中,如果使用客户机凭据grant type来获取令牌,并且使用graph api使用该令牌来获取on-prem用户消息(https://graph.microsoft.com/v1.0/users('onpremuser@onpremdomain.com')/messages/),则会因提供未知错误而失败。
在IIS日志上进行调试时,显示的错误是“此令牌配置文件'v1s2sapponly'不适用于当前协议”。error_category=“invalid_token”。
然而,如果授权码授予或资源所有者口令凭证(ROPC)授予用于获取令牌,我们可以使用graph API获得on prem用户的消息。已附上两个令牌的截图。如何使用图形API(在混合设置中)使客户机凭据授予工作于on-prem用户消息访问?
更新我在Exchange server中编辑了rest的Web.config,使配置文件中有V1S2SAppOnly。在此之后,以前的错误消失了,新的错误出现了。
bearer+client_id=“00000002-0000-0FF1-CE00-000000000000”,+trusted_issuers=“00000001-0000-C000-00000000@EA6064AA-D6FC-48D3-ABB8-1728E1F39E0B”,+token_types=“app_asserted_user_v1+service_asserted_app_v1”,+error=“invalid_token”2000008;reason=“+令牌+应该+拥有+有效+权限+或+链接+帐户+关联+与+合作伙伴+应用程序00000000000000'。”;error_category=“invalid_grant”
共有1个答案
我认为问题在于aud声明,即token的受众。
对于您共享的第一个令牌
AUD值为00000002-0000-0000-C000-000000000000。这是Azure AD Graph API的资源Id,而不是Microsoft Graph API的资源Id。对于Microsoft Graph API,您应该使用https://Graph.Microsoft.com或Id00000003-0000-0000-C000-000000000000- 此令牌可能是您使用客户端凭据grant的令牌,因为没有任何用户声明
-
null
-
我正在通过adal节点库使用microsoft登录验证我的网页的用户。 adal-node有一个,我们可以使用
-
我已经考虑这个问题好几天了,从经验中我知道我通常会解决这些问题,但这次我遇到了砖墙。 我有一个在Azure DevOps YAML管道中实例化的python应用程序。该应用程序调用Azure DevOps REST API来创建存储库 该应用程序使用PAT(个人访问令牌)进行身份验证 我在Azure DevOps中创建了一个应用程序: 我的计划是让这一切都在Postman中工作,然后将我的发现移植
-
直截了当的问题,希望有一个直截了当的答案。我试图使用request通过Node.js实现客户端凭证流。这是我的代码 无论我做什么,响应体总是 我尝试过使用 curl 提出请求,结果相同。 这意味着这是凭据的问题。我肯定为我的应用程序使用了正确的客户端ID和客户端秘密,这让我相信是编码导致了问题。 我的编码正确吗?如果是这样,还有什么原因呢?
-
OAuth2 JWT 配置文件引入了将 JWT 用作授权授予和客户端身份验证的可能性。 JWT客户端身份验证功能独立于特定的授权类型,并且可以与任何授权类型一起使用,也可以与客户端凭据授权一起使用。 但是,使用 JWT 授权类型似乎与将客户端凭据授予与 JWT 客户端身份验证结合使用完全相同,只是语法略有不同。 在这两种情况下,客户端都会联系令牌终结点以获取访问令牌: vs
-
我可以使用,其中一个keycloak客户机与另一个keycloak客户机通信。然而,只有当我登录到第一个keycloak客户机时,它才起作用,即它向keycloak服务器发送客户机ID、客户机机密、用户名和密码。如果我没有在第一个客户机上使用用户和密码进行身份验证,我会得到“无法设置授权头,因为没有身份验证原则”。但是我已经将keycloak配置为对第一个客户机使用服务帐户(客户机凭据授权),因此
-
版权设置 (版权用于设置前台页面底部的网站版权,是授权用户最重要的标志,只有授权用户才可更改版权信息,否则是要追究法律责任的哦)