Microsoft Graph 和 Azure Ad 用户身份验证

我在 Azure 广告中注册了一个应用程序。

当我使用以下详细信息执行 ADAL 时，我会获得一个授权令牌以与 microsoft graph api 一起使用。

    `username      = '[email protected] /cdn-cgi/l/email-protection'
    password      = 'password123'
    client_id     = application id from azure ad
    client_secret = keys from application on azure ad
    tenant        = directory id from azure ad`

使用此令牌，我可以获取我的共享点帐户中的所有站点的列表。

下面是我调用的端点来获取带有不记名令牌的站点：https://graph.microsoft.com/v1.0/sites?search=*

但是，当我仅使用使用以下端点生成的令牌进行客户端身份验证时，我无法访问站点列表。login.microsoftonline.com/tenant_id/oauth2/v2.0/token

    `grant_type : client_credentials
    clientid : client_id
    clientsecrte : client_secret
    scope : https://graph.microsoft.com`

它不会返回所有站点。

有没有一种方法只需客户端身份验证即可获取所有站点列表。

或者我可以获得一个没有用户密码的用户身份验证令牌。

这是我正在使用的解码令牌：{ "aud": "https://graph.microsoft.com", "iss": "https://sts.windows.net/586145ec-0428-4da6-8061-fb114257ab70/", "iat": 1528949458, "nbf": 1528949458, "exp": 1528953358, "aio": "Y2dgYLh*************xAAA=", "app_displayname": "App Name", "appid": "504ddb16-2899-48be-be57-**********", "appidacr": "1", "idp": "https://sts.windows.net/586145ec-0428-4da6-8061-fb114257ab70/", "oid": "afcf166f-24c2-49f1-b285-b672d0413c50", "roles": [ "Sites.Read.All", "Sites.ReadWrite.All", "Sites.Manage.All", "Sites.FullControl.All", ], "sub": "afcf166f-24c2-49f1-b285-b672d0413c50", "tid": "586145ec-0428-4da6-8061-fb114257ab70", "uti": "hwYd8FZCH0KruWGRFiIHAA", "ver": "1.0" }

我还获得了其他权限，但这些权限与 Microsoft Graph api 中的站点相关

Cause:

成功的人正在使用ROPC flow它可以得到委托权限用户的行为。但失败的人正在使用client_credentials flow哪个得到应用程序权限并且不能代表用户。

更新答案

解决方案：（在进行此测试之前，请确保您的租户拥有 SPO 许可证）

1. 尝试添加Sites.Read.All您注册的 AAD 应用程序中的应用程序权限以及征得管理员同意在你获得令牌之前先获取它。

2. 如果您使用的是 AAD v1 端点，您可以通过以下方式获得管理员同意单击授予权限按钮.如果您使用v2端点，请在您的互联网浏览器中输入此类URL以进行管理员授权：

   https://login.microsoftonline.com/{yourtenant}/adminconsent?client_id={the applicationid of your client}&state=123&redirect_uri={the redirect uri of your app}

并使用全局管理员帐户登录并接受此权限。

3. In my test lab, I used v2 endpoint.Here is the token I got via Postman:

这是解码后的令牌https://jwt.ms https://jwt.ms，我们可以解码令牌以确保它具有我们想要的权限。

4. 然后我在 head 中使用这个令牌调用 Microsoft Graph API 并成功：

有关 Microsoft Graph 站点权限的更多详细信息，请参阅本文档 https://developer.microsoft.com/en-us/graph/docs/concepts/permissions_reference#sites-permissions.

请让我知道这可不可以帮你！