无效的委托令牌。指定了无效的国家云 ID (1)答案

【问题标题】：Invalid Delegation Token. Invalid national Cloud ID (1) is specified无效的委托令牌。指定了无效的国家云 ID (1)
【发布时间】：2018-07-18 15:47:59
【问题描述】：

我们有一个 O365 租户，一切都是开箱即用的配置。租户位于德国云中，而不是全局 (office.de)。我们还开发了一个 Office 插件，授权使用 OAuth 2.0 访问共享点。首先，我们向这个url发起一个code请求：

http://login.microsoftonline.com/common/oauth2/authorize?response_type=code&client_id=client_id&redirect_uri=redirect_uri&state=state

我们得到所有值，包括代码。然后，我们向 Discovery Service 发起请求，以使用此 url 发现服务：

https://login.windows.net/common/oauth2/token?client_id=client_id&redirect_uri=redirect_uri&resource=https://api.office.com/discovery/&grant_type=authorization_code&code=code

在全球云中一切正常，我们得到了我们需要的服务列表，但在德国云中，我们得到以下错误：

{ “错误”：“invalid_grant”， "error_description": "AADSTS90051: 无效的委派令牌。指定的国家云 ID (1) 无效。\r\n跟踪 ID: 52f8aa2b-9f98-4ba6-b778-c0ba484a3c00\r\n相关 ID: 67100192-82c8-41ea-a5ca- fd9872caaf2e\r\n时间戳：2018-02-08 06:31:18Z", “错误代码”：[ 90051 ], “时间戳”：“2018-02-08 06:31:18Z”， “trace_id”：“52f8aa2b-9f98-4ba6-b778-c0ba484a3c00”， “correlation_id”：“67100192-82c8-41ea-a5ca-fd9872caaf2e” }

当我们尝试将url更改为https://login.windows.de/common/oauth2/token时出现同样的错误

【问题讨论】：

标签： azure oauth-2.0 office365 azure-active-directory

【解决方案1】：

我认为您可以使用客户端凭据流来实现：

1.为 Office Discovery 服务 API 请求访问令牌：

POST https://login.microsoftonline.de/{{yourtenantId}}/oauth2/token?client_id={{client_id}}&client_secret={{client_secret}}&grant_type=client_credentials&resource=https://api.office.com/discovery/

2.使用头部的访问令牌并使用Office Discovery API：

附加：如果您想获取 id_token 并使用它，请尝试在您的请求中使用 https://login.microsoftonline.de 作为 AAD 授权端点。我没有测试，但它应该可以工作。

希望这会有所帮助！

【讨论】：

不应该用client_id={{client_id}}&client_secret={{client_secret}}&grant_type=client_credentials&resource=https://api.office.com/discovery/作为表单内容POST到https://login.microsoftonline.de/{{yourtenantId}}/oauth2/token吗？ :) 现在它在查询中。
@juunas 我知道你的意思。但是Body 正在关注?。所以，它们是相同的请求。
要使用此流程，我们需要在客户的 azure 广告中安装一个 azure 应用程序，并且他们需要给我们一个tenantid 和一个秘密。我们也放弃了登录过程。