通过 Microsoft.Graph 邀请用户会出错

【问题标题】:Inviting users through Microsoft.Graph gives error通过 Microsoft.Graph 邀请用户会出错
【发布时间】:2019-07-26 19:32:34
【问题描述】:

预期行为

应该邀请用户,然后用更多信息更新用户 https://docs.microsoft.com/en-us/graph/api/invitation-post?view=graph-rest-1.0

实际行为

来源

"Microsoft.Graph.Core"

留言

"Code: Unauthorized\r\nMessage: Insufficient privileges to perform requested operation by the application '00000003-0000-0000-c000-000000000000'. ControllerName=MSGraphInviteAPI, ActionName=CreateInvite, URL absolute path=/api/9cXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX/invites\r\n\r\nInner error\r\n"

堆栈跟踪

   at Microsoft.Graph.HttpProvider.SendAsync(HttpRequestMessage request, HttpCompletionOption completionOption, CancellationToken cancellationToken)
   at Microsoft.Graph.BaseRequest.SendRequestAsync(Object serializableObject, CancellationToken cancellationToken, HttpCompletionOption completionOption)
   at Microsoft.Graph.BaseRequest.SendAsync[T](Object serializableObject, CancellationToken cancellationToken, HttpCompletionOption completionOption)
   at Web.Api.Infrastructure.Infrastructure.Repositories.AzureRepository.CreateUser(CreateUserCommand user) in C:\Users\SamPrecious\source\repos\Adept\src\adept-web-api\Web.Api.Infrastructure\Infrastructure\Repositories\AzureRepository.cs:line 166

重现行为的步骤

SDK 版本: netcoreapp2.2
"Microsoft.Graph" 版本="1.13.0" "Microsoft.Graph.Core" 版本="1.13.0"

IDE 版本: VS 代码 - 1.31.1 Vsiual Studio 企业版 2017 - 4.7.03056

我有这个方法(将创建GraphServiceClient的代码移到方法中证明一点) 客户端通过 App 注册进行身份验证(我得到了一个访问令牌),但是当 Invite 的代码运行时,authenticationContext.AcquireTokenAsync 再次触发,并且上面的堆栈跟踪出现错误。根据 API 文档,客户端应用程序具有 User.Invite.All、User.ReadWrite.All、Directory.ReadWrite.All。

为什么代码中的AppId变成了上面Message中的那个?

public async Task<string> CreateUser(CreateUserCommand user)
        {
            try
            {
                var clientCredential = new ClientCredential(_configuration["appId"], _configuration["secret"]);
                var authenticationContext = new AuthenticationContext(_configuration["authority"]);
                var authenticationResult = authenticationContext.AcquireTokenAsync("https://graph.microsoft.com", clientCredential).Result;

                var delegateAuthProvider = new DelegateAuthenticationProvider((requestMessage) =>
                {
                    requestMessage.Headers.Authorization = new AuthenticationHeaderValue("bearer", authenticationResult.AccessToken);

                    return Task.FromResult(0);
                });

                var con = new GraphServiceClient(delegateAuthProvider);

                //invite user
                Invitation invitation = new Invitation();
                invitation.InvitedUserDisplayName = user.Name;
                invitation.SendInvitationMessage = true;
                invitation.InvitedUserEmailAddress = user.Email;
                invitation.InviteRedirectUrl = "http://localhost";
                var result = await con.Invitations.Request().AddAsync(invitation);

                //update user
                var aadUser = _connection.GetConnection().ActiveDirectoryUsers.GetById(result.Id);
                var updateUser = result.InvitedUser;
                updateUser.DisplayName = user.Name;
                updateUser.Surname = user.Surname;
                updateUser.Mail = user.Email;
                updateUser.MobilePhone = user.Phone;
                await con.Users[result.InvitedUser.Id].Request().UpdateAsync(updateUser);
                return aadUser.UserPrincipalName;
            }
            catch (System.Exception)
            {

                throw;
            }


        }

CreateUserCommand:

public class CreateUserCommand
    {
        public string Name { get; set; }
        public string Surname { get; set; }
        public string Email { get; set; }
        public string Phone { get; set; }
    }

这是应用注册的截图

权限:

IConfiguration 对象中的应用程序 ID

【问题讨论】:

  • 您能否分享有关 var aadUser = _connection.GetConnection().ActiveDirectoryUsers.GetById(result.Id); 的更多详细信息您在哪里取消了 _connection

标签: c# azure microsoft-graph-api asp.net-core-2.2


【解决方案1】:

仅当您在用户上下文中调用 API 时,委派权限才重要。

由于您使用的是客户端凭据,因此没有用户。 仅应用程序权限适用,因此请在此处设置正确的权限。

另外,既然你有一个异步函数,最好也等待令牌:

var authenticationResult = await authenticationContext.AcquireTokenAsync("https://graph.microsoft.com", clientCredential);

【讨论】:

  • 优秀 - 这就像一个魅力。我将不得不正确研究委托权限和应用程序权限之间的差异。
  • 应用程序权限 = 当应用程序调用 API 时应用。委托权限 = 应用代表用户调用 API 时应用。
  • 那么应用程序权限是否适用于 SPN?
  • 基本上它们是赋予服务主体的角色。
  • 同样的问题,将删除的权限更改为应用程序是解决我的问题的方法。谢谢....
猜你喜欢
  • 1970-01-01
  • 2021-07-15
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2018-06-11
  • 2017-12-31
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode