Хорошая идея, спасибо :)

аюсь получить доступ кAzure AD Граф API. Я успешно добавил пользователей в свою тестовую среду (ADFS) и изменил свой домен на{mytestdomain}.onmicrosoft.com, Синхронизация пароля с использованиемAzure AD Connect работает.

Теперь я настроил производственную среду (в том числеADFS) соответственно, и я сейчас синхронизирую пользователей, но, очевидно, не могу изменить домены на{mydomain}.onmicrosoft.com. Теперь пользователи имеют{mydomain}.net и я синхронизирую пользователей с проверенным доменом вAzure AD.

При попытке доступаhttps://login.microsoftonline.com/{mydomain}.net/oauth2/token используя следующее (да, я знаю, чтоgrant_type не рекомендуется, но не в этом суть)

grant_type: password
username: {user}@{mydomain}.net
password: XXXX
resource: https://graph.windows.net
client_id: {Guid}

Я получил:

AADSTS70002: Ошибка при проверке учетных данных.
AADSTS50126: Неверное имя пользователя или пароль

Если я использую администратора как[email protected]{mydomain}.onmicrosoft.com это работает отлично.

На портале Azure я попытался изменить основной домен с{mydomain}.onmicrosoft.com в{mydomain}.net, но это не имеет значения.

На портале управления говорится:

«Чтобы настроить {mydomain} для федеративного входа в Azure Active Directory, запустите Azure AD Connect в локальной сети».

Применимо ли это к графическому API? Нужно ли настраивать федерацию в локальной сети или есть другой способ?

Ответы на вопрос(1)

Решение Вопроса

{mydomain}.onmicrosoft.com в{mydomain}.net, но это не имеет значения.

Мне не понятны детали ваших шагов синхронизации. Помимо подтвержденного пользовательского домена в Azure AD, вам также понадобятся некоторые другие конфигурации, такие какНастройка входа в Azure AD, Вы можете увидеть более подробную информацию вэтот документ.

Это относится и к графику API? Нужно ли настраивать федерацию в локальной сети или есть другой способ?

Да, так как вы используете ADFS, вам нужно использоватьФедеративный единый вход (со службами федерации Active Directory (AD FS)) позволяет вашим пользователям входить в облачные и локальные ресурсы, используя одни и те же пароли.

Подробнее о параметрах входа пользователя Azure AD Connect можно узнать вэтот официальный документ.

Надеюсь, это поможет!

 Wayne Yang - MSFT07 дек. 2017 г., 09:32
Привет, @ danskov. Один вопрос, один ответ. Я предлагаю вам открыть новый вопрос, я полагаю, что сообщества помогут вам.
 danskov07 дек. 2017 г., 09:34
Хорошая идея, спасибо :)
 danskov17 нояб. 2017 г., 13:19
Спасибо за некоторые ссылки. Это действительно помогло мне в правильном направлении. Сейчас я нахожусь в процессе создания федерации. Я проверю позже.
 Wayne Yang - MSFT17 нояб. 2017 г., 03:54
Здравствуйте, @ danskov. Использование Azure AD Connect для настройки гибридной идентификации может быть непростым, если у вас есть какой-либо процесс, пожалуйста, не стесняйтесь сообщить мне.

Ваш ответ на вопрос