Microsoft Graph OAuthの問題

Question

ユーザー入力がない背景のJSアプリケーションがあるので、ユーザーの入力なしでアプリケーション認証を使用しています。私は、Azure ADポータルとapps.dev.microsoft.comでアプリをセットアップしました。私は、次の、私がしようとすると、グラフAPIを使用して、それを使用する場合

client_id: application_id 
client_secret: generated key 
grant_type: client_credentials 
scope: "https://graph.microsoft.com/.default" 

これはしかし、access_tokenはを生成します：以下の身体に

login.microsoftonline.com/{Tenant}/oauth2/token 

：

私は次のエンドポイントを使用していますエラー

アクセストークンの検証エラー

ユーザー入力による通常のOAuthトークンと比較してトークンを調べると、私はscpではなく役割で渡されたことに気付きました。オーディエンスはgraph.microsoft.comではなく私のアプリケーションです。

私は間違っていますか？

Answer 1

Azure ADポータルに登録されているアプリは、Azure AD V1.0エンドポイントで動作し、apps.dev.microsoft.comに登録されており、v2.0エンドポイントで動作します。まず、this documentを参照してv2.0エンドポイントに関する相違点を確認してください。

ユーザーとの対話（クライアント資格情報の流れ）なしでセキュアなリソースにアクセスするためのAzureのAD v2.0のを使用するには、/トークンV2.0エンドポイントにPOSTリクエストを送信する必要があります。

POST /common/oauth2/v2.0/token HTTP/1.1 
Host: login.microsoftonline.com 
Content-Type: application/x-www-form-urlencoded 

client_id=535fb089-9ff3-47b6-9bfb-4f1264799865&scope=https%3A%2F%2Fgraph.microsoft.com%2F.default&client_secret=qWgdYAmab0YSkuL1qKv5bPX&grant_type=client_credentials 

あなたの可能性Azure AD V2.0エンドポイントでOAuth 2.0クライアントの資格認定を使用する方法については、this documentを参照してください。

azure ad v1.0（Azureポータルに登録されているアプリ）をクライアントの資格フローとともに使用する場合は、this documentを参照してください。 azure ad v1.0では、クライアントアプリケーションが承認を要求しているresourceパラメータを指定する必要があります。シナリオでは、microsoft graph apiを呼び出すトークンを取得する場合は、リソースはhttps://graph.microsoft.com/になります。