azure - 尝试使用图谱API

我尝试使用Graph API获取有关Azure Active Directory组的信息，但我一直在获取＆＃34; Authorization_RequestDenied＆＃34;响应。

此问题与Insufficient privileges error when trying to fetch signed in user's group membership using Azure AD Graph API类似，但该问题的答案对我没有用。

这就是我所做的：

使用我的Microsoft帐户（例如example@hotmail.com）
设置Azure Active Directory实例以进行测试。实例的域类似于examplehotmail247.onmicrosoft.com
创建了一个用户（TestMember@examplehotmail247.onmicrosoft.com）
创建了一些组，并使用户成为这些组的一部分
创建了一个配置为使用OpenID Connect向AAD进行身份验证的ASP.NET应用程序。
在AAD中注册了应用程序，创建了客户端密钥，回复URL等
修改了AAD中应用程序的清单，以便返回组成员身份声明。

验证部分工作正常。用户登录后，我可以看到我期望的所有信息（名称，ID等），以及包含用户所属的所有组的ID的声明。

到目前为止，非常好。

现在，我想将这些组ID转换为人类可读的组名。为此，我使用了Microsoft.Azure.ActiveDirectory.GraphClient NuGet包，它提供了GetObjectsByObjectIdsAsync方法。这个方法似乎是getObjectsByObjectIds REST方法的包装器。

为了尝试让这项工作成功，我已经完成了以下工作：

在Azure门户网站中，我已授予＆＃34;登录并阅读用户个人资料＆＃34;和＆＃34;读取目录数据＆＃34;我的应用程序的权限。
使用我的Microsoft帐户登录我的ASP.NET应用程序至少一次

我看到的：当我使用我的Microsoft帐户登录我的ASP.NET应用程序时，一切正常。但是，当我使用我创建的AAD帐户（TestMember@examplehotmail247.onmicrosoft.com）登录时，它失败并出现以下错误：

[DataServiceClientException：{＆＃34; odata.error＆＃34;：{＆＃34; code＆＃34;：＆＃34; Authorization_RequestDenied＆＃34;，＆＃34; message＆＃34;：{＆＃34 ; lang＆＃34;：＆＃34; en＆＃34;，＆＃34; value＆＃34;：＆＃34;没有足够的权限来完成操作。＆＃34;}，＆＃34; requestId＆＃34;：＃＆34; 1234e0bb-3144-4494-a5fb-12a937147bcf＆＃34;＆＃34;日期＆＃34;：＆＃34; 2016-12-06T18：39：13＆＃34;}}] System.Data.Services.Client.BaseAsyncResult.EndExecute（Object source，String method，IAsyncResult asyncResult）+919 System.Data.Services.Client.QueryResult.EndExecuteQuery（Object source，String method，IAsyncResult asyncResult）+116

直接使用REST api尝试等效查询（即将ASP.NET从图片中删除）会得到相同的结果。

那我在这里错过了什么？

更新：我还为应用程序授予了以下委派权限（对Windows Azure Active Directory）：登录并读取用户配置文件，读取目录数据，以登录用户身份访问目录。但是，它没有任何区别。

更新＃2：我甚至让TestMember@examplehotmail247.onmicrosoft.com为AAD实例的全局管理员，但它仍然没有帮助。

更新＃3：好的，首先，澄清一下。用户登录后，我的ASP.NET应用程序从OpenID Connect流中获取授权代码。获得代码后，我会使用AcquireTokenByAuthorizationCodeAsync将其替换为访问令牌。访问令牌与用户绑定，因此我希望依赖委派的权限，而不是应用程序权限。

尝试使用图谱API

1 个答案: