使用用户名/密码从 powershell 调用受广告保护的 Azure API

Question

我有一个受 Azure AD 保护的 Web api。 我的 javascript 发送一个回调 url，用户访问令牌被发送到

https://login.microsoftonline.com/{my_tenant}/oauth2/v2.0/token/?redirect_uri={my_url}&...

现在我想使用 powershell 访问我的 api，因此我只想将令牌作为响应。我用下面的代码试过这个resource owner password credential-flow，但它只是说用户名或密码不正确......（我使用相同的手动登录）

   $creds =  @{
        client_id = $clientId
        username = $username
        password = $password
        grant_type = "password"
        scope="User.Read" 
    }

$headers = @{        
    "Content-Type"="application/x-www-form-urlencoded"
}
Invoke-RestMethod $authUrl -Method Post -Body $creds -Headers $headers;  

所以，简而言之，我想通过powershell使用用户名和密码登录，可以吗？

Answer 1

我无法重现您的问题，请仔细检查您的用户名和密码。

或者你可以试试我的工作示例，如果你想从你自己的api中获取toekn，scope应该是{Application ID URI or Application ID}/User.Read，如果你使用scope="User.Read"，它默认代表MS Graph API。

示例：

 $authUrl = "https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token/"

 $clientId = "xxxxxxxxxxxxxxxxxxx"
 $username = "xxxxxx@xxx.onmicrosoft.com"
 $password = "xxxxxx"

   $creds =  @{
        client_id = $clientId
        username = $username
        password = $password
        grant_type = "password"
        scope="{Application ID URI or Application ID}/User.Read" 
    }

$headers = @{        
    "Content-Type"="application/x-www-form-urlencoded"
}
Invoke-RestMethod $authUrl -Method Post -Body $creds -Headers $headers

更新：

在使用资源所有者密码凭证流程时，请注意以下重要事项。