Azure AD令牌发行端点不返回“范围”参数

Question

我正在使用本文所述的服务应用程序查询Microsoft Graph： http : //graph.microsoft.io/en-us/docs/authorization/app_only

我可以成功地向特定于租户的URL发出POST请求，并获得指定的JSON响应：

{ 
  "token_type": "Bearer",
  "expires_in": "3599",
  "scope": "User.Read",
  "expires_on": "1449685363",
  "not_before": "1449681463",
  "resource": "https://graph.microsoft.com",
  "access_token": "<token>"
}

但缺少“范围”参数。 我在AD配置面板中选中了所有“ Office 365 Exchange Online”“应用程序权限”。 当针对Graph API使用返回的令牌时，我能够成功调用https://graph.microsoft.com/v1.0/users/但没有其他端点。

Answer 1

我只是遇到了这个问题，想详细说明标记为正确的答案，因为它是正确的答案，但解决方案不完整。 如果没有范围参数，则表示您的应用已注册，但是管理员尚未同意该应用访问您的AD实例。 一旦注册了应用程序，就必须构建并转到以下URL来授权该应用程序（当然是使用管理员帐户）：

GET https://login.microsoftonline.com/{TenantID}/adminconsent?
client_id=<APP ID>
&state=<This is optional for your app to use>
&redirect_uri=<ReturnURL>

TenantID：来自Azure门户-如果单击右上角的“帮助”图标，然后选择“显示诊断”，则可以在诊断JSON中找到租户ID。

AppID：来自Azure门户-注册应用时，您将转到管理控制台并剪切/粘贴

本文为尝试进行图形集成的人们提供了大量有用的信息。

Answer 2

您需要从Microsoft Graph服务中可用的列表中选择应用程序范围，然后征得管理员同意