圖形API訪問被拒絕錯誤

Question

我們一直在使用Graph API的日歷端點來讀取組織中所有會議室的當前日歷事件（根據應用程序的需要）。

我們的AAD應用程序具有基於證書的委派訪問所需的權限設置。

AAD許可設置

我們能夠讀取事件，但是從上周五開始，我們注意到我們嘗試訪問端點時所有呼叫均失敗，並顯示訪問被拒絕的錯誤消息。

委托權限設置

錯誤樣例：

"{\r\n  \"error\": {\r\n    \"code\": \"ErrorAccessDenied\",\r\n    \"message\": \"Access is denied. Check credentials and try again.\",\r\n    \"innerError\": {\r\n      \"request-id\": \"4e86b67f-c790-4622-8c52-5560ada18809\",\r\n      \"date\": \"2017-12-20T00:59:42\"\r\n    }\r\n  }\r\n}"
"{\r\n  \"error\": {\r\n    \"code\": \"ErrorAccessDenied\",\r\n    \"message\": \"Access is denied. Check credentials and try again.\",\r\n    \"innerError\": {\r\n      \"request-id\": \"43986eec-2b2a-4e0c-b2e6-d5cacfd9e583\",\r\n      \"date\": \"2017-12-20T01:15:04\"\r\n    }\r\n  }\r\n}"

附加信息：令牌有效載荷數據：

{
  "aud": "https://graph.microsoft.com/",
  "iss": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
  "iat": 1513731142,
  "nbf": 1513731142,
  "exp": 1513735042,
  "aio": "<removed>",
  "app_displayname": "<removed>",
  "appid": "17e23349-efa0-4b31-b04f-c8e16754bcb8",
  "appidacr": "2",
  "e_exp": 262800,
  "idp": "https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db47/",
  "oid": "028bc190-3171-4699-90ad-65a0b6cc9d21",
  "sub": "028bc190-3171-4699-90ad-65a0b6cc9d21",
  "tid": "72f988bf-86f1-41af-91ab-2d7cd011db47",
  "uti": "nTP0r5PyPUqQoNS3WmUKAA",
  "ver": "1.0"
}

我確實注意到令牌有效負載缺少任何作用域，但是鑒於它早已起作用並且沒有對我們的AAD實例進行任何已知的更改，我懷疑這是否是真正的問題，但請告知我是否丟失了某些內容。

我嘗試將AAD應用程序切換到另一個也具有管理員同意的權限設置的應用程序，但是導致與上述相同的錯誤。

Answer 1

由於令牌中沒有作用域/角色，因此問題可能在於未授予權限。

您可以通過單擊其中的“授予權限”按鈕來授予租戶中的權限。

您還可以在我的博客中找到有關贈款的工作方式以及如何調試此類問題的一些信息： https : //joonasw.net/view/the-grant-requires-admin-permission