使用 C# 代码查询 Azure 活动 AD 用户时出现异常

Question

我已在 Azure Active Diretcory 中注册了一个应用程序并使用以下代码：

<appSettings>
    <add key="TenantId" value="b1f9cb25-7c7a-4ecd-96c1-513c2b42c350"/>
    <add key="TenantName" value="myTentantName.onmicrosoft.com"/>
    <add key="ClientId" value="d82c0c6a-8c14-4c42-8aca-60c79fcfc9b4"/>
    <add key="ClientSecret" value="27?_MOh_qM633Hcccct;cw:@*$9ojcsNxve)rYI"/>
</appSettings>

internal class Settings
{
    public const string ResourceUrl = "https://graph.microsoft.com";
    public static string TenantId => ConfigurationManager.AppSettings["TenantId"];
    public static string TenantName => ConfigurationManager.AppSettings["TenantName"];
    public static string ClientId => ConfigurationManager.AppSettings["ClientId"];
    public static string ClientSecret => ConfigurationManager.AppSettings["ClientSecret"];
    public static string AuthString => "https://login.microsoftonline.com/" + TenantName; 
}

类 AuthenticationHelper

public static ActiveDirectoryClient GetActiveDirectoryClientAsApplication()
{
    Uri servicePointUri = new Uri(Settings.ResourceUrl);
    Uri serviceRoot = new Uri(servicePointUri, Settings.TenantId);
    ActiveDirectoryClient activeDirectoryClient = new ActiveDirectoryClient(
        serviceRoot,
        async () => await AcquireTokenAsyncForApplication());
    return activeDirectoryClient;
}

private static async Task<string> AcquireTokenAsyncForApplication()
{
    AuthenticationContext authenticationContext = new AuthenticationContext(Settings.AuthString, false);

    ClientCredential clientCred = new ClientCredential(Settings.ClientId, Settings.ClientSecret);
    AuthenticationResult authenticationResult =
        await authenticationContext.AcquireTokenAsync(
            Settings.ResourceUrl,
            clientCred);
    string token = authenticationResult.AccessToken;
    return token;
}

主类

var client = AuthenticationHelper.GetActiveDirectoryClientAsApplication();

try
{
    var users = await client.Users.OrderBy(user => user.DisplayName).ExecuteAsync();
    var foundUser = await client.Users.Where(user => user.ObjectId == "d62d8c6a-dc69-46c1-99c4-36cd672f0c12").ExecuteAsync();
    foreach (var user in users.CurrentPage)
    {
        Console.WriteLine(user.DisplayName + " " + user.ObjectId);
    }
}
catch (Exception exception)
{
    Console.WriteLine(exception);
}

我在主类中遇到错误：

var users = await client.Users.OrderBy(user => user.DisplayName).ExecuteAsync();

System.InvalidOperationException: 处理此请求时出错。 ---> System.PlatformNotSupportedException：此平台不支持安全二进制序列化。

Answer 1

我参考官方示例获得成功： Azure-Samples / active-directory-dotnet-graphapi-console

唯一的区别是ResourceUrl不是https://graph.microsoft.com 。 正确的值为https://graph.windows.net 。

那讲得通。 因为您正在尝试使用AD Graph而不是Microsoft Graph

---

更新

与代码一样，您正在获取带有客户端凭据的令牌。 因此，您获得的令牌只有应用程序权限。 因此，您需要在 Azure 门户中添加和授予应用程序权限：

Answer 2

现在发现了错误的资源问题，代码运行良好（我自己测试过）。 剩下的问题是什么？

• 指定的文件名太长？ 这是由于 Windows 最大路径长度限制。 将您的 repo 文件向上移动到最靠近您的驱动器或根文件夹路径的位置。
• AADSTS90002 ? 尝试使用租户 ID 而不是全名。
• Authorization_RequestDenied 是由于缺乏权限，请确保您设置并同意所需的权限，对于您的代码，您需要https://graph.windows.net/Directory.Read.All 。 最后，您可以获得同时使用 AAD Graph API 和 MS Graph API 的用户。 建议移至后者，因为前者将被弃用。 查看将 Azure AD Graph 应用程序迁移到 Microsoft Graph 。