グラフAPIアクセス拒否エラー

Question

グラフAPIのカレンダーエンドポイントを使用して、組織のすべての会議室の現在のカレンダーイベントを読み込みました（アプリケーションで必要に応じて）。

私たちのAADアプリケーションには、証明書ベースの委任アクセスのために必要な権限が設定されていました。

AADの許認可のセットアップ

私たちはイベントを読み取ることができましたが、先週の金曜日から始めて、我々はエンドポイントをヒットしようとすると、すべての私たちの呼び出しがアクセス拒否エラーメッセージで失敗していることに気づきました。

委任されたアクセス許可の設定

サンプルエラー：

"{\r\n \"error\": {\r\n \"code\": \"ErrorAccessDenied\",\r\n \"message\": \"Access is denied. Check credentials and try again.\",\r\n \"innerError\": {\r\n  \"request-id\": \"4e86b67f-c790-4622-8c52-5560ada18809\",\r\n  \"date\": \"2017-12-20T00:59:42\"\r\n }\r\n }\r\n}" 
"{\r\n \"error\": {\r\n \"code\": \"ErrorAccessDenied\",\r\n \"message\": \"Access is denied. Check credentials and try again.\",\r\n \"innerError\": {\r\n  \"request-id\": \"43986eec-2b2a-4e0c-b2e6-d5cacfd9e583\",\r\n  \"date\": \"2017-12-20T01:15:04\"\r\n }\r\n }\r\n}" 

追加情報： トークンペイロードデータ：

{ 
    "aud": "https://graph.microsoft.com/", 
    "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/", 
    "iat": 1513731142, 
    "nbf": 1513731142, 
    "exp": 1513735042, 
    "aio": "<removed>", 
    "app_displayname": "<removed>", 
    "appid": "17e23349-efa0-4b31-b04f-c8e16754bcb8", 
    "appidacr": "2", 
    "e_exp": 262800, 
    "idp": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/", 
    "oid": "028bc190-3171-4699-90ad-65a0b6cc9d21", 
    "sub": "028bc190-3171-4699-90ad-65a0b6cc9d21", 
    "tid": "72f988bf-86f1-41af-91ab-2d7cd011db47", 
    "uti": "nTP0r5PyPUqQoNS3WmUKAA", 
    "ver": "1.0" 
} 

私はトークンペイロードがどのスコープが不足している気づかなかったが、それが以前より早く働いていたことを考えれば、我々のAADのインスタンスでは、それが本当の問題かどうかは疑問ですが、私がそこに何か不足しているかどうかを教えてください。

私はAADアプリケーションを管理者の承諾を得た設定を持っている別のものに切り替えようとしましたが、上記と同じエラーが発生しました。

Answer 1

トークンにスコープ/ロールがないため、権限が付与されていない可能性があります。

テナントの権限を付与するには、[許可]ボタンをクリックします。

また、助成金がどのように動作するかについていくつかの情報を見つけることができますし、どのようにあなたは私のブログでこの種の問題をデバッグすることができますhttps://joonasw.net/view/the-grant-requires-admin-permission