2
v1 Azure ADアプリケーションをセットアップし、this setup guideに密接に揃えました。Azure AD v1を使用したInvalidAuthenticationToken Microsoft Graphのクライアント資格情報
私たちは、Azure AD Graph APIに対するクライアント認証情報ベースのoAuth呼び出しを正常に作成しました。また、v2アプリケーションでは、Microsoft Graph APIへのクライアント資格情報ベースの呼び出しを成功させました。
しかし、Azure AD GraphとMicrosoft Graphの両方を使用するマルチテナントアプリケーションを作成したいので、Microsoft Graphをv1アプリケーションで呼び出す必要があります。また、クライアントの資格情報に基づく認可が最もクリーンなアプローチであるとも感じています。
私たちは私たちの呼び出しに応じて、次のエラーが表示v1のアプリケーションとマイクロソフトグラフを呼び出す:ここ
InvalidAuthenticationToken. Access token validation failure.
はサンプルトークンペイロードである:
{
"aud": "00000002-0000-0000-c000-000000000000",
"iss": "https://sts.windows.net/a0482499-f164-4e2f-8564-909dabfc74cb/",
"iat": 1509393647,
"nbf": 1509393647,
"exp": 1509397547,
"aio": "Y2NgYNhb5ao7R09dJ+qAWf/tDcEnAA==",
"appid": "eb7e150b-8a01-4c63-8e6c-31acbf1f0730",
"appidacr": "1",
"idp": "https://sts.windows.net/a0482499-f164-4e2f-8564-909dabfc74cb/",
"oid": "16dd4917-534c-4633-88fc-dcb84e9b9a99",
"roles": [
"Directory.Read.All",
"Directory.ReadWrite.All"
],
"sub": "16dd4917-534c-4633-88fc-dcb84e9b9a99",
"tenant_region_scope": "NA",
"tid": "a0482499-f164-4e2f-8564-909dabfc74cb",
"uti": "Zm-DzqIyX0u8RsXaO9kcAA",
"ver": "1.0"
}
たちのトークンが生成されました次のエンドポイントからドメイン{tenant}:
https://login.microsoftonline.com/{tenant}/oauth2/token
アプリケーションでは、Microsoft Graphに対して次の権限を追加しました。
- 読み書きすべてのユーザーの完全なプロファイル
- 読むすべてのユーザーの完全なプロファイル
- 読むと、ディレクトリデータを書き込む:
アプリケーション権限(基本的に私たちは何かの仕事を見るために多くのことをつかんで)
- 読むのディレクトリデータは
- 読むと、すべてのグループ
- は、すべてのグループを読み取り、書き込み
委任アクセス権:
- 読み書きディレクトリデータ
- 読むディレクトリデータ
- 読み書きすべてのグループ
- は、すべてのグループ
- 読み取りを読み、すべてのユーザーの完全なプロフィールを書きます
- すべてのユーザーの完全なプロファイルを読む
- 読むすべてのユーザーの基本的なプロフィール
- 読むとユーザープロファイルへのアクセス