结合使用Azure AD App权限时,将永远运行到'serviceUnavailable'SharePoint图查询中

汉斯·范·德·阿克

这种情况使我创建了一个真正的可怕的解决方法,但是有时候,您没有选择权吗?

当您在Azure AD应用程序中设置了多个(特定?)Azure AD应用程序权限时,问题基本上会碰到503:“ serviceUnavailable”消息,这种情况不应发生。

上下文和技术查询

该上下文专门用于应用程序权限(仅应用程序身份验证)和委托权限。令牌通过以下方式检索:

HTTP POST https://login.microsoftonline.com/e6fcb01a-f706-4b1b-872b-1e7645d78491/oauth2/v2.0/token
headers: 
Content-Type=application/x-www-form-urlencoded
-------------
client_id=<App GUID>
client_secret=<App SECRET>
scope=https://graph.microsoft.com/.default
grant_type=client_credentials

/ sites / root查询通过以下方式检索:

HTTP GET https://graph.microsoft.com/v1.0/sites/root
headers: Authorization=Bearer <AccessToken>
-------------

重现这种情况:

  • 创建一个Azure AD应用程序
  • 添加应用程序权限> Sites.ReadWrite.All
  • 授予的管理员同意
  • 创建秘密
  • 生成访问令牌(使用)
  • 使用令牌运行查询(有效)

强制破坏(一次全部添加或1比1添加)

  • 添加应用程序权限> Group.Create
  • 授予的管理员同意
  • 生成访问令牌
  • 使用令牌运行查询(失败?)

它行得通吗?

  • 添加应用程序权限> Group.ReadWrite.All
  • 授予的管理员同意
  • 生成访问令牌
  • 使用令牌运行查询(失败?)
  • 重复另一个权限。直到它破裂。

会破裂吗?

  • 永远失败

解决方法:

在多个AD应用程序之间拆分应用程序权限。

Sanket Ghorpade

我对此进行了测试,问题就在那里,但是一种解决方法是Group.Create如果有的话,您不需要许可Group.ReadWrite.All

因此,在总结一个广告的应用程序可以Group.ReadWrite.AllSites.ReadWrite.All权限,它会工作,但如果它有三个权限的单一广告的应用程序将失败Group.CreateGroup.ReadWrite.AllSites.ReadWrite.All

本文收集自互联网,转载请注明来源。

如有侵权,请联系[email protected] 删除。

编辑于
0

我来说两句

0条评论
登录后参与评论

相关文章

来自分类Dev

查询特定的Azure AD权限

来自分类Dev

将“Visual Studio Dev Essentials”Azure 订阅与 Azure AD B2C 结合使用

来自分类Dev

将 Azure AD 集成到 Java Web 应用程序中。如何破解 Azure AD

来自分类Dev

将Azure AD高级自定义角色与Spring Security结合使用以进行基于角色的访问

来自分类Dev

将 Azure AD Graph API over MS Graph 与 Active Directory B2C 结合使用的建议存在冲突

来自分类Dev

在企业应用程序Azure AD中授予对图API的权限

来自分类Dev

无法将Azure SQL与Azure中的Azure AD用户连接

来自分类Dev

按需请求 Azure AD 权限

来自分类Dev

在Azure AD中配置应用程序权限

来自分类Dev

使用User.ReadBasic.All从Azure AD中读取用户时出现权限问题?

来自分类Dev

如何在Web App中从Azure AD刷新ID令牌?

来自分类Dev

Azure AD 中的应用注册

来自分类Dev

将Azure AD中的主体ID解析为User,Service

来自分类Dev

将Azure AD中的主体ID解析为User,Service

来自分类Dev

使用Azure AD的Azure API APP身份验证

来自分类Dev

使用 Powershell 查询 Azure AD 以查找哪些用户可以访问 Azure 中的不同资源

来自分类Dev

从Azure AD图获取组织ID或域

来自分类Dev

将SignalR与Azure Service Fabric结合使用

来自分类Dev

将Azure DevOps与Ansible结合使用

来自分类Dev

Azure AD的可选应用程序权限

来自分类Dev

Azure AD帐户的Windows 10 NTFS权限

来自分类Dev

撤销 Azure AD 应用程序的权限

来自分类Dev

Azure AD 删除已注册应用的权限

来自分类Dev

Azure AD B2C App注册图API-澄清

来自分类Dev

我们可以将Azure AD用户同步到本地AD吗

来自分类Dev

引用字段中的AD组而不授予它们在Azure DevOps / TFS中的访问权限

来自分类Dev

MVC中的Azure AD身份验证通过模拟到Azure SQL

来自分类Dev

将Azure表中的自定义属性类型与ASP.NET 5 DNX Core结合使用

来自分类Dev

在PHP中获取Azure AD用户角色

Related 相关文章

  1. 1

    查询特定的Azure AD权限

  2. 2

    将“Visual Studio Dev Essentials”Azure 订阅与 Azure AD B2C 结合使用

  3. 3

    将 Azure AD 集成到 Java Web 应用程序中。如何破解 Azure AD

  4. 4

    将Azure AD高级自定义角色与Spring Security结合使用以进行基于角色的访问

  5. 5

    将 Azure AD Graph API over MS Graph 与 Active Directory B2C 结合使用的建议存在冲突

  6. 6

    在企业应用程序Azure AD中授予对图API的权限

  7. 7

    无法将Azure SQL与Azure中的Azure AD用户连接

  8. 8

    按需请求 Azure AD 权限

  9. 9

    在Azure AD中配置应用程序权限

  10. 10

    使用User.ReadBasic.All从Azure AD中读取用户时出现权限问题?

  11. 11

    如何在Web App中从Azure AD刷新ID令牌?

  12. 12

    Azure AD 中的应用注册

  13. 13

    将Azure AD中的主体ID解析为User,Service

  14. 14

    将Azure AD中的主体ID解析为User,Service

  15. 15

    使用Azure AD的Azure API APP身份验证

  16. 16

    使用 Powershell 查询 Azure AD 以查找哪些用户可以访问 Azure 中的不同资源

  17. 17

    从Azure AD图获取组织ID或域

  18. 18

    将SignalR与Azure Service Fabric结合使用

  19. 19

    将Azure DevOps与Ansible结合使用

  20. 20

    Azure AD的可选应用程序权限

  21. 21

    Azure AD帐户的Windows 10 NTFS权限

  22. 22

    撤销 Azure AD 应用程序的权限

  23. 23

    Azure AD 删除已注册应用的权限

  24. 24

    Azure AD B2C App注册图API-澄清

  25. 25

    我们可以将Azure AD用户同步到本地AD吗

  26. 26

    引用字段中的AD组而不授予它们在Azure DevOps / TFS中的访问权限

  27. 27

    MVC中的Azure AD身份验证通过模拟到Azure SQL

  28. 28

    将Azure表中的自定义属性类型与ASP.NET 5 DNX Core结合使用

  29. 29

    在PHP中获取Azure AD用户角色

热门标签

归档