温馨提示:本文翻译自stackoverflow.com,查看原文请点击:其他 - Cannot set "preAuthorizedApplications" object in new App registrations module through Azure Powershe
azure azure-active-directory azure-powershell adal.js

其他 - 无法通过Azure Powershe在新的App注册模块中设置“ preAuthorizedApplications”对象

发布于 2020-04-13 18:25:00

简短场景:多个租户前端javascript(React.JS)Web应用程序从浏览器调用多租户ASP.NET Core 2.2 WebAPI。

验证方式:

  1. 前端应用程序中的ADAL.js负责在用户登录时(根据用户原始的Azure Active Directory)从AzureAD1或AzureAD2或AzureAD3获取令牌。

  2. 用户也同意将其委派给WebAPI 的前端Web App(范围:登录并阅读用户个人资料)。这意味着用户也不需要同意WebAPI

  3. 前端Web应用程序使用承载令牌调用We​​bAPI以获取资源。

问题:我必须自动化新环境的部署。并相应地设置清单文件(这是一个SaaS解决方案)

  1. 在清单文件中,我需要公开客户端应用程序的WebAPI(https://docs.microsoft.com/zh-cn/azure/active-directory/develop/quickstart-configure-app-expose-web-apis#expose -一个新的范围,通过用户界面
  2. 设置“ knownClientApplications”是不够的(由于先前描述的委托
  3. 新的v2端点(https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-overview)具有新的应用程序注册功能。旧版本现在称为“旧版”,将从2019年5月开始弃用。
  4. 在Azure门户中,需要公开API并将前端WebApp添加为“授权的科学应用程序”。

屏幕转储

此步骤将在清单文件中添加一个新对象:

"preAuthorizedApplications": [
        {
            "appId": "guid",
            "permissionIds": [
                "guid"
            ]
        }
    ],
  1. 但是它仍然无法通过PowerShell使用!https://docs.microsoft.com/zh-cn/powershell/module/azuread/set-azureadapplication?view=azureadps-2.0

如何使用Azure PowerShell将“ preAuthorizedApplications”部分添加到清单文件中?为什么它在门户中可用,但在PS中尚不可用?通常是另一回事...

2019/08/05根据答案更新:

我正在通过服务主体获取访问令牌:

$adTokenUrl = "https://login.microsoftonline.com/$TenantId/oauth2/token"
$resource = "https://graph.windows.net/"

$body = @{
    grant_type    = "client_credentials"
    client_id     = "$ServicePrincipalId"
    client_secret = "$ServicePrincipalKey"
    resource      = "$resource"
}

$response = Invoke-RestMethod -Method 'Post' -Uri $adTokenUrl -ContentType "application/x-www-form-urlencoded" -Body $body
$token = $response.access_token

根据文档:https : //docs.microsoft.com/zh-cn/graph/api/application-update? view = graph-rest-beta & tabs =cs

服务主体应至少具有Application.ReadWrite.OwnedBy和大多数Application.ReadWrite.All特权。

我是否应该要求我们的AAD管理员授予服务负责人以下权利?

屏幕转储



2019年8月5日更新2:服务主体已被授予上述所有突出显示的权利。

尝试1:

步骤1: 通过服务主体(将要更新的Api应用的所有者)获取access_token

$adTokenUrl = "https://login.microsoftonline.com/$(TenantId)/oauth2/token"
$resource = "https://graph.microsoft.com/"

$body = @{
    grant_type    = "client_credentials"
    client_id     = "$(ServicePrincipalId)"
    client_secret = "$(ServicePrincipalKey)"
    resource      = "$resource"
}

$response = Invoke-RestMethod -Method 'Post' -Uri $adTokenUrl -ContentType "application/x-www-form-urlencoded" -Body $body
$token = $response.access_token

第2步:使用此access_token,按照Farid Uddin Kiron的建议建立我的PATCH请求,并

结果:远程服务器返回错误:(403)禁止。

2019年9月5日更新3: 经过某种详尽的解释和指导,我可以使用此功能并为我的 Postman 请求获取HTTP 204。剩下的就是将这些步骤集成到我的管道中。

请参阅已接受的答案有用。如果有人遇到同样的问题,请阅读Md Farid Uddin Kiron的其他答案。

查看更多

提问者
ystvan
被浏览
101
分享
Md Farid Uddin Kiron 2019-05-08 09:25

没错,AzureAD powershell模块中似乎存在故障。那对我也不行。

如果要修改app manifest使用powershell来添加“ preAuthorizedApplications”部分,则可以尝试以下powershell脚本。

我已经测试过了,对我有用。

从理论上讲,我已经调用Microsoft Graph API来修改app manifest如果您还有其他疑问,请随时告诉我。

$AdAdminUserName = "<-your Azure ad admin username ->"

$AdAdminPass="<-your Azure ad admin password ->"

$AdAppObjId = "<-your app obj id->"

$AdPreAuthAppId = "<-the app that need to be pre authed ->"

$AdAppScopeId = "<-your app scope id->"

$tenantName = "<-your tenant name->"


$body=@{
    "grant_type"="password";
    "resource"="https://graph.microsoft.com/";
    "client_id"="1950a258-227b-4e31-a9cf-717495945fc2";
    "username"=$AdAdminUserName;
    "password" = $AdAdminPass
}

$requrl = "https://login.microsoftonline.com/"+$tenantName+"/oauth2/token" 

$result=Invoke-RestMethod -Uri $requrl -Method POST -Body $body 

$headers = New-Object 'System.Collections.Generic.Dictionary[String,String]'
$headers.Add("Content-Type","application/json")
$headers.Add("Authorization","Bearer " + $result.access_token)


$preAuthBody = "{`"api`": {`"preAuthorizedApplications`": [{`"appId`": `"" + $AdPreAuthAppId + "`",`"permissionIds`": [`"" + $AdAppScopeId + "`"]}]}}"

$requrl= "https://graph.microsoft.com/beta/applications/"+$AdAppObjId

Invoke-RestMethod -Uri $requrl -Method PATCH -Body  $preAuthBody  -Headers $headers

注意: ROPC不安全,因为Microsoft不建议使用ROPC。它也不允许使用MFA,这就是为什么它不太危险的原因。

ystvan 2019-05-06 18:49:24

嗨@MdFaridUddinKiron!非常感谢您的建议!我将对此进行测试。作为一种变通方法我目前作为PS脚本的所有者将自己(有对象ID),当我创建AAD的应用程序,这样我就可以在Azure门户manually.What我的部署后相应作出必要的修改注意到$AdAppScopeId(我的所有应用程序的PermissionIds)都不相同。$AdPreAuthAppId是明确的,那就是应用程序的对象ID。但是我似乎找不到有关范围ID的任何文档。我现在猜到可以分配任何有效的GUID吗?

ystvan 2019-05-06 19:27:47

刚刚找到它。在我的情况下,这是oauth2Permissions的ID。docs.microsoft.com/en-us/graph/api/resources/…

Md Farid Uddin Kiron 2019-05-06 19:32:12

是的,你可以。让我知道您是否还有其他顾虑。

ystvan 2019-05-07 03:34:14

嗨@MdFaridUddinKiron!我终于测试了。不幸的是,有一个例外:远程服务器返回错误:(405)不允许的方法。似乎不允许使用PATCH动词?

Md Farid Uddin Kiron 2019-05-07 08:16:34

嗨,这很奇怪...我在2个租户中测试了上面的脚本,它适用于所有人。实际上,我正在调用此Graph API:docs.microsoft.com/en-us/graph/api / ... 如您所见,仅支持PATCH方法...您能否进行检查?如果成功调用了API,它将回复204:无内容

热门帖子

1
96年 一无所有 该学点什么养家糊口了
2
Authing 真是一家神奇牛逼的公司!
3
项目寻找 UI 设计与前端开发外包
4
电脑内存都被谁占了
5
自己写的拯救者笔记本风扇命令行控制软件 欢迎 star 和反馈使用问题
6
使用 flutter+goframe 实现了一个旅游攻略 app,现在内测开启!
7
有搞过便利店的朋友吗
8
广州有老哥出可以多播的宽带么
9
读论文的一些心流体验和挫败感
10
2024 年 9 月份入园价格北京昌平霍营附近某普惠幼儿园

相关问题

1
无法将docker-compose基础结构部署到Azure容器实例
2
我应该使用哪个.NET Azure Service Bus库作为队列?
3
从Microsoft Azure中的设备孪生获取来自后端服务应用程序的消息
4
如何通过暴露的api检索cosmosdb的查询统计信息?
5
Blazor WebAssembly应用程序上加载请求B2C登录屏幕时出错
6
Xamarin形式
7
避免从功能应用程序的应用程序见解中记录严重性级别0
8
谁可以创造?
9
如何使用Azure CLI设置VNET / SubNet?
10
外部类型:网关无法访问虚拟网络内的资源吗?

热门github

1
A multi-platform library for OpenGL, OpenGL ES, Vulkan, window and input (翻译:适用于 OpenGL、OpenGL ES、Vulkan、窗口和输入的多平台库)
2
Dev tool that writes scalable apps from scratch while the developer oversees the implementation (翻译:可扩展开发工具的 PoC,该工具从头开始编写整个应用程序,同时开发人员监督实施)
3
shadcn/ui, but for Svelte. ✨ (翻译:shadcn-svelte是shadcn/ui的非官方社区主导的Svelte端口。)
4
The Python Risk Identification Tool for generative AI (PyRIT) is an open access automation framework to empower security professionals and machine learning engineers to proactively find risks in their generative AI systems. (翻译:用于生成式 AI 的 Python 风险识别工具 (PyRIT) 是一个开放式访问自动化框架,使安全专业人员和机器学习工程师能够主动发现其生成式 AI 系统中的风险。)
5
Performance-portable, length-agnostic SIMD with runtime dispatch (翻译:Highway 是一个提供可移植 SIMD/向量内在函数的 C++ 库。)
6
ZK Credo (翻译:ZK信条)
7
OpenCodeInterpreter: Integrating Code Generation with Execution and Refinement (翻译:OpenCodeInterpreter:将代码生成与执行和优化集成)
8
Joplin - the secure note taking and to-do app with synchronisation capabilities for Windows, macOS, Linux, Android and iOS. (翻译:Joplin - 一个开源的笔记和待办事项应用程序,具有Windows,macOS,Linux,Android和iOS的同步功能。)
9
Mamba is a new state space model architecture showing promising performance on information-dense data such as language modeling, where previous subquadratic models fall short of Transformers. It is based on the line of progress on structured state space models, with an efficient hardware-aware design and implementation in the spirit of FlashAttention. (翻译:Mamba 是一种新的状态空间模型架构,在信息密集型数据(例如语言建模)上显示出良好的性能,而之前的二次模型在 Transformers 方面存在不足。它基于结构化状态空间模型的进展,并本着FlashAttention的精神进行高效的硬件感知设计和实现。)
10
This repository contains System Design resources which are useful while preparing for interviews and learning Distributed Systems (翻译:该存储库包含系统设计资源,在准备面试和学习分布式系统时非常有用)
11
Curso para aprender el lenguaje de programación Python desde cero y para principiantes. 75 clases, 37 horas en vídeo, código, proyectos y grupo de chat. Fundamentos, frontend, backend, testing, IA... (翻译:从零开始学习 Python 编程语言的课程,适合初学者)
12
🎓 Path to a free self-taught education in Computer Science! (翻译:🎓计算机科学免费自学教程!)
13
1️⃣🐝🏎️ The One Billion Row Challenge -- A fun exploration of how quickly 1B rows from a text file can be aggregated with Java (翻译:十亿行挑战 —— 使用 Java 对文本文件中的 10 亿行数据进行聚合的有趣探索)
14
A collective list of free APIs (翻译:免费 API 的集合列表)
15
📚 Freely available programming books (翻译:📚 免费提供的编程书籍)