Azure AD 是否提供 API 方法以编程方式验证用户？

Question

我想通过 Web 应用和本机移动应用验证 Azure AD 用户，尽管 Azure AD 不是我使用的唯一 IdP。

我已经阅读了OAuth2 article，但我无法找到一种 API 方法来验证用户。 One answer 指出，您可以在获取令牌时传递 username 和 password 参数，但它似乎并没有对此进行验证。

有一个 DotNet 解决方案的示例，但我不熟悉 .NET - 尝试运行它并遇到 System.TypeLoad 异常 (Could not load type of field 'Microsoft.Owin.Security.ActiveDirectory.WsFedMetadataRetriever:CS$<>9__CachedAnonymousMethodDelegate5')

我之前尝试过设置 SimpleSAML 解决方案，但缺点是对于原生应用，它需要额外的工作并且可能不适合。

Answer 1

我建议您将用户重定向到 Azure AD 登录页面。

从技术上讲，您可以尝试使用资源所有者密码凭据授权来验证用户。但它并不总是有效。

这涉及您使用类似于以下的表单数据向 OAuth 令牌端点发出 POST 请求：

grant_type=password&username=user@example.com&password=Password&client_id=your-client-id&client_secret=your-client-secret&resource=resource-you-want-the-token-for

资源可以是https://graph.windows.net，因为默认情况下您可以访问它。如果结果是成功的，那么是的，用户存在并且凭证是有效的。

但如果它失败了，它可能会发生，因为：

• 用户不存在
• 密码错误
• 用户启用了多重身份验证
• 用户是联合用户（来自本地 AD），并且必须通过 ADFS 完成身份验证

所以它在某些情况下根本无法工作。