Ошибка: AADTS50059: информация, идентифицирующая арендатора, не найдена ни в запросе >, ни в предоставленных учетных данных
Я использую Microsoft.Identity Login в своем веб-приложении, чтобы разрешить вход в систему любым пользователям организации (за пределами моего идентификатора арендатора). Конфигурация моего файла appsettings.json приведена ниже.
"AzureAd": {
"Instance": "https://login.microsoftonline.com/",
"Domain": "domain.com",
"ClientId": "GUID_CLIENT_ID_FROM_ENTRA",
"TenantId": "organizations",
"CallbackPath": "/signin-oidc",
"ClientSecret": "CLIENT_SECRET",
"SkipUnrecognizedRequests": true
}
Код, используемый для получения токена доступа, выглядит следующим образом:
RestClient _client = new RestClient("https://login.microsoftonline.com");
var request = new RestRequest("/" + _configuration["AzureAd:TenantId"] + "/oauth2/token", Method.Post);
request.AddHeader("Content-Type", "application/x-www-form-urlencoded");
request.AddParameter("grant_type", "client_credentials");
request.AddParameter("client_secret", _configuration["AzureAd:ClientSecret"]);
request.AddParameter("client_id", _configuration["AzureAd:ClientId"]);
request.AddParameter("resource", "20e940b3-4c77-4b0b-9a53-9e16a1b010a7");
var response = await _client.ExecuteAsync(request);
Когда я использую TenantId организации, где «Приложение» было зарегистрировано на портале Entra Admin, приведенный выше код работает, но как только я меняю TenantId на «организации», происходит сбой с ошибкой ниже:
AADTS50059: Информация, идентифицирующая арендатора, не найдена ни в запрос или подразумеваемый любыми предоставленными учетными данными
Я настроил свое приложение так, чтобы разрешить «Изменить настройку на учетные записи в любом каталоге организации», как указано здесь
Посоветуйте, пожалуйста, решение.
Ответы 1
Боюсь, это должно быть ожидаемое поведение при установке определенного идентификатора клиента вместо использования organizations или common. Сейчас вы используете поток учетных данных клиента OAuth v1.0 (у вас есть "grant_type", "client_credentials" и "resource", "20e940xxx), поэтому я не могу предоставить вам официальный документ, объясняющий это. Для потока учетных данных клиента генерации токена доступа через OAuth 2.0 у нас есть описание, подобное приведенному ниже.
tenant Обязательно Клиент каталога, с которым планирует работать приложение. против, в формате GUID или имени домена.
На самом деле, это будет легко понять. Поток учетных данных клиента не требует, чтобы пользователь сначала входил в систему и создавал токен доступа. И этот поток создаст токен доступа для списка разрешений API, которые мы согласовываем в целевом приложении AAD. Если мы не определили точный идентификатор клиента, он не будет знать, кому принадлежит идентификатор клиента, а также не сможет авторизовать разрешения API, что делает токен бессмысленным.
Посмотрим результат теста. Если я укажу точного арендатора в запросе, я смогу получить токен с утверждением roles, которое представляет разрешения API, которые я предоставляю. Если я просто использую common или organizations, полученный токен не будет иметь ролей claim, как показано на снимке экрана ниже.
Точно так же, как то, что вы можете видеть в потоке кода аутентификации, запросе на вход пользователя и генерации токена доступа, оба запроса позволяют использовать общие или организации. Learn.microsoft.com/en-us/entra/identity-platform/…
Я предлагаю следующее: если вам все еще требуется использовать поток учетных данных клиента, давайте определим точного арендатора в URL-адресе запроса для соответствующего арендатора. Если нам не требуется поток учетных данных клиента, то нам всем нужно, чтобы пользователи сначала вошли в систему, затем в URL-адресе входа мы можем установить как
organizationsи разрешить пользователям использовать учетную запись своей организации для входа, тогда информация аутентификации будет содержать необходимую информацию об арендаторе, и это поможет сгенерировать токен доступа.