【问题标题】:Azure AD graph API using on-premise domain使用本地域的 Azure AD 图形 API
【发布时间】:2017-11-16 15:22:07
【问题描述】:

我正在尝试访问 Azure AD 图形 API。我已成功将用户添加到我的测试环境 (ADFS) 并将他们的域更改为 {mytestdomain}.onmicrosoft.com。使用Azure AD Connect 的密码同步有效。

现在我已经相应地设置了生产环境(包括ADFS),我现在正在同步用户,但显然不能将域更改为{mydomain}.onmicrosoft.com.用户现在有{mydomain}.net,我正在同步用户到 Azure AD 中的已验证域。

尝试访问时 https://login.microsoftonline.com/{mydomain}.net/oauth2/token 使用以下(是的,我知道不推荐使用grant_type,但这不是重点)

grant_type: password
username: {user}@{mydomain}.net
password: XXXX
resource: https://graph.windows.net
client_id: {Guid}

我明白了:

AADSTS70002:验证凭据时出错。
AADSTS50126:用户名或密码无效

如果我使用像 admin@{mydomain}.onmicrosoft.com 这样的管理员,它可以正常工作。

在 Azure 门户中,我尝试将主域从 {mydomain}.onmicrosoft.com 更改为 {mydomain}.net,但没有任何区别。

管理门户上写着:

“要配置 {mydomain} 以联合登录到 Azure Active Directory,请在本地网络上运行 Azure AD Connect。”

这在使用图形 API 时是否也适用?我必须在我的本地网络上设置联合还是有其他方法?

【问题讨论】:

    标签: azure-active-directory adfs


    【解决方案1】:

    在 azure 门户中,我尝试将主域从 {mydomain}.onmicrosoft.com{mydomain}.net,但它不会 区别。

    我不清楚您的同步步骤的详细信息。除了在 Azure AD 中验证您的自定义域外,您还需要一些其他配置,例如 Azure AD 登录配置。更多详情请见this document.

    这在使用图形 api 时也适用吗?我必须设置吗 我的本地网络上的联盟还是有其他方法?

    是的,由于您使用的是 ADFS,因此您需要使用 Federated SSO (with Active Directory Federation Services (AD FS)) 以允许您的用户使用相同的密码登录云和本地资源。

    您还可以在this official document 中查看有关 Azure AD Connect 用户登录选项的更多详细信息。

    希望对你有帮助!

    【讨论】:

    • 嗨,@danskov。使用 Azure AD Connect 设置混合身份验证可能并不容易,如果您有任何过程,请不要害羞地告诉我。
    • 感谢一些链接。这真的帮助我朝着正确的方向前进。我现在正在建立联邦。我稍后再回来查看。
    • 嗨,@danskov。一问一答。我建议你打开一个新问题,我相信社区会帮助你。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-05-09
    • 1970-01-01
    • 1970-01-01
    • 2020-08-19
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多