API de Azure AD Graph con dominio local
Estoy intentando acceder alAzure AD
API gráfica. He agregado con éxito usuarios a mi entorno de prueba (ADFS
) y cambió su dominio a{mytestdomain}.onmicrosoft.com
. La sincronización de contraseña usandoAzure AD Connect
trabajos.
Ahora he configurado el entorno de producción (incluidoADFS
) en consecuencia y ahora estoy sincronizando a los usuarios, pero obviamente no puedo cambiar los dominios a{mydomain}.onmicrosoft.com.
Los usuarios ahora tienen{mydomain}.net
y estoy sincronizando a los usuarios con un dominio verificado enAzure AD
.
Al intentar accederhttps://login.microsoftonline.com/{mydomain}.net/oauth2/token
usando lo siguiente (sí, sé quegrant_type
no se recomienda, pero ese no es el punto)
grant_type: password
username: {user}@{mydomain}.net
password: XXXX
resource: https://graph.windows.net
client_id: {Guid}
Yo obtengo:
AADSTS70002: Error al validar las credenciales.
AADSTS50126: nombre de usuario o contraseña no válidos
Si uso un administrador comoadmin@{mydomain}.onmicrosoft.com
funciona bien.
En Azure Portal he intentado cambiar el dominio principal de{mydomain}.onmicrosoft.com
a{mydomain}.net
, pero no hace la diferencia.
Dice en el portal de gestión:
"Para configurar {mydomain} para el inicio de sesión federado en su Azure Active Directory, ejecute Azure AD Connect en su red local".
¿Se aplica eso también al usar la API de gráficos? ¿Tengo que configurar la federación en mi red local o hay otra forma de evitarlo?