WindowsデバイスとフェデレーションされたAzureユーザーには問題があります。 Graph APIを使用してOffice 365をユーザーにプロビジョニングするアプリケーションを構築しました。これらのユーザーは、オンデマンドのアクティブディレクトリにも保存されます。フェデレーションユーザーのWindowsデバイスへのログイン
これらのユーザーにSSOを提供するアプリケーションも作成しました。このアプリケーションは複数のOffice 365テナント(委譲による)の処理に対応しています
これまでのところ、とても良いです。私たちはWebflowの作業で問題やSSOなしにプロビジョニングできます。このために私たちはカスタムSTSを使用しています。 STSのターンは、認可のためにADFSを使用します。
Windows 10デバイスを使用してフェデレーションユーザーでログインしようとすると、常に「誤ったユーザー名またはパスワード」という通知が表示されるという問題があります。私たちはパスワードを三重チェックしました。それは正しいのです(ウェブフローが機能することを忘れないでください)。
私たちは何時間もの研究を経て、認証プロトコルとしてWsFedが必要であると結論付けました。
ドメインがフェデレーションされているかどうかを確認する> MetadataExchange URIが呼び出される> ADFSのユーザー名付きエンドポイントが呼び出される> SOAPメッセージはOfficeに送信され、ログインする必要があります。
時間を費やして無駄な時間を費やしました。ここでは、異なるURLにMetadataExchangeのミラーバージョンを作成し、ADFSからユーザーを取得しようとする場所を変更しました。通話はそこを通過し、すべてのことはOKと思われますが、引き続き「間違ったユーザー名またはパスワード」通知を受け取ります。
"invalid_grant","error_description":"AADSTS70002: Error validating credentials. AADSTS50155: Device is not authenticated.
我々は仕事にこれを取得するにはどうすればよい:。私たちは、最後のステップの一つでOfficeは、次のエラーを返すことがわかりますシオマネキを使用して
すべてのデバイスグラントはAzure側で適用されます(ただし、AAD APIとGraph APIにはデバイスグラントがあります)。
私たち自身のSTSを迂回してADFS everthingsに直接リンクしている場合、これは望ましくありません。なぜなら、複数のテナントで動作するソリューション(AADSyncを使用しない理由もあります)が必要だからです。
ご提案は大歓迎です!