API de gráfico do Azure AD usando domínio local
Estou tentando acessar oAzure AD
API do gráfico. Adicionei usuários com êxito ao meu ambiente de teste (ADFS
) e alterou seu domínio para{mytestdomain}.onmicrosoft.com
. A sincronização de senha usandoAzure AD Connect
trabalho.
Agora eu configurei o ambiente de produção (incluindoADFS
) de acordo e agora estou sincronizando os usuários, mas obviamente não é possível alterar os domínios para{mydomain}.onmicrosoft.com.
Os usuários agora têm{mydomain}.net
e estou sincronizando os usuários com um domínio verificado emAzure AD
.
Ao tentar acessarhttps://login.microsoftonline.com/{mydomain}.net/oauth2/token
usando o seguinte (sim, eu sei quegrant_type
não é recomendado, mas esse não é o ponto)
grant_type: password
username: {user}@{mydomain}.net
password: XXXX
resource: https://graph.windows.net
client_id: {Guid}
Eu recebo:
AADSTS70002: Erro ao validar credenciais.
AADSTS50126: Nome de usuário ou senha inválidos
Se eu usar um administrador comoadmin@{mydomain}.onmicrosoft.com
Funciona bem.
No portal do Azure, tentei alterar o domínio principal de{mydomain}.onmicrosoft.com
para{mydomain}.net
, mas não faz diferença.
Diz no portal de gerenciamento:
"Para configurar {mydomain} para logon federado no Azure Active Directory, execute o Azure AD Connect na sua rede local."
Isso se aplica ao usar a API do gráfico também? Preciso configurar a federação na minha rede local ou existe outra maneira de contornar?