问题标签 [azure-active-directory]

我已将域名添加到我的 Azure Active Directory 帐户，但它显示该域名未经验证。

为了验证域名，我进入我的“默认目录”并进入“域”选项卡，在那里我可以看到我的whatever.com 域名已列出。我单击它以突出显示它，然后单击底部栏中的“验证”按钮，然后弹出一个框：“为单点登录配置域”，告诉我转到“目录集成页面并完成所有步骤... " 还有一个复选框，要求现在将我带到目录集成页面。就是这样，除了右下角的勾号按钮。

我唯一的选择是发送到“目录集成”页面，其中包含指向其他网页的帮助主题，这些网页不一定反映我在 Azure 门户中看到的内容，就验证域名而言。

我了解我需要在已购买的域名上创建 TXT 记录，并且我可以从其他屏幕截图中看到，我需要在 Azure（某处）中找到一个值为“MS=xxxxxx”的值，但发现事实证明，从哪里获得该价值是困难的。

我找错地方了吗？

我想用 powershell 在 Azure 中创建一个新的 Active Directory。

您知道执行此操作的 cmdlet 吗？

谢谢 ！

为什么我的 Azure AD 应用程序不允许 oauth client_credentials 授权？

我想使用 Azure Graph API，但首先我需要一个 oauth 令牌。为了获得令牌，我正在尝试使用 Microsoft.IdentityModel.Clients.ActiveDirectory aka ADAL 版本 1.0.3（来自 NuGet）。

我正在使用带有 ClientCredential 对象的 AuthenticationContext.AcquireToken 的重载。（我不能使用提示用户登录的重载，因为我正在编写服务，而不是应用程序。）

我按照各种教程/示例（例如ADAL - 服务器到服务器身份验证）中的描述配置了我的 Azure AD Web 应用程序。

我的代码如下所示：

该AcquireToken行引发异常：

内部异常是 WebException，收到的响应看起来像 oauth 错误：

绕过 ADAL 并将 curl 与 oauth 端点一起使用也会产生相同的错误。

如果我使用我在此处找到的 Azure 应用程序的详细信息，我的代码就可以工作：

所以这不是我的代码错误。我认为这要么是我的 Azure AD 错误，要么是我的 ClientCredential 参数错误。

我们有一个配置有自定义域的 Windows Azure Active Directory，链接到本地​​ ADFS (2.0) 服务器以进行联合身份验证。

当我在干净的浏览器会话中访问https://manage.windowsazure.net时， https ://login.microsoft.online.com 会提示我输入电子邮件地址。这要求提供组织帐户与 Microsoft 帐户，如果我选择组织帐户，我将被重定向到我们的 ADFS 服务器 - 一切都很好。

另一方面，在我们自己的使用 ADAL 的 ASP.NET MVC 应用程序中，登录页面（同样是 login.microsoftonline.com）同时显示用户名和密码框。如果您键入用户名，然后将注意力集中在密码框上，您就会在此时重定向到 ADFS。

这可能是一种相当令人困惑的用户体验——通常在重定向发生时您已经开始输入密码，然后按 Enter，当然会导致身份验证失败。

此屏幕录制中可能有更好的演示： http ://www.youtube.com/watch?v=hZYPltSmcn8&feature=youtu.be

有没有办法使用仅用户名页面而不是用户名 + 密码，或者更好的是，跳过 WAAD 页面并直接重定向到 ADFS？（因为无论如何所有用户都会将它用于 SSO。）

I use Windows Azure Active Directory to secure my WebAPI. But the problem is that I don't see my application in a list of available applications.

Steps to reproduce:

1. Create New MVC WebAPI project with Organizational Authentication option. Specify Azure Domain and logged-in successfully. Project created!
2. Go to Azure Manage Portal -> Active Directory -> Specific Domain -> Applications. Can see my newly created WebAPI application in the list.
3. Add New Application to the Active Directory (tried both: Native and Web Site). Specify all required fields like Name, Redirect URL etc. and go to configuration.
4. In Application Configuration page try to allow access to other Web APIs. But my WebAPI application (created in step 1 and verified in the list of applications in step 2 ) is not in the list of available WebAPIs. Actually only two options available there: a) Windows Azure Active Directory; 2) Windows Azure Service Management API;

我想知道是否可以将我的 Office 365 AD 同步到 Windows Azure 中的VM以通过 VM 启用用户身份验证。

请注意，VM 上根本没有设置 AD。

如果可能的话，你能给我一些指导吗？

谢谢，毛兹

我只是在试用新的 Office 365 Api 工具预览版，当 Web 身份验证代理在 Windows 8 应用程序中打开时，我总是收到错误消息。我第一次使用该应用程序时能够登录，但从那时起，我什至没有机会登录就收到此错误。请参阅下面的错误截图（它们有白色背景）：

Web 身份验证代理屏幕上的消息：

在我单击代理上的后退按钮后，我收到第二条错误消息：

如果我单击“退出”按钮，则不会发生任何事情。我还尝试清除所有缓存，并关闭所有其他浏览器会话。由于登录是第一次工作，我知道应用程序配置正确。就好像它以某种方式进入了一个糟糕的状态，然后缓存了一些无效的东西，阻止它正确导航到登录页面。

最后要注意的是，除了创建一个新的 Windows 8 应用程序并添加具有共享点访问权限的连接服务引用之外，我对该项目所做的唯一另一件事是更改起始页：

有什么我可以清除的以将应用程序重置为原始状态吗？或者有人知道这个错误的解决方案吗？ 我之前在我正在开发的其他应用程序上看到过它，但这只是暂时的，在这种情况下它会一遍又一遍地发生。

更新：

经过更多的开发时间后，我实际上在我正在处理的另一个应用程序中看到了同样的问题。无论为调试而构建、为发布而构建、清理解决方案、清除缓存等，WebAuthenticationBroker 都会失败，这也是一样的......第二个不相关的项目没有使用 Office365 Api 工具，也没有使用新的 Azure Active Directory 库Office365 api 工具示例代码中使用的 AuthorizationContext 类。它直接使用 WebAuthenticationBroker.authenticateAsync 方法。这意味着问题可能是由较低级别的东西引起的，并且与 Office 工具或 AAD 库无关。此外，虽然 WebAuthenticationBroker 继续失败，但我仍然可以使用浏览器通过同一服务进行身份验证，这意味着它' s 还不足以成为实际网络的问题。这个问题似乎持续了不同的时间段，几分钟或一个小时，下次我运行应用程序时，它会按预期神奇地工作。

这是开发的主要障碍，因为如果无法验证和检索访问令牌，就无法发出请求。考虑到这个错误有多严重，而且似乎没有其他人抱怨这个问题，也许这是一个环境问题？是否有任何设置会间歇性地导致此问题？

从 Microsoft Azure ActiveDirectory 中，我得到了一个响应，其中包含refresh_token对/token端点 (OAuth2) 的请求，它看起来像这样：

所以显然refresh_token没有过期，当我需要一个新的时我可以多次使用它access_token，对吗？

还有，是id_token为了什么？

我们在 Azure 中为测试应用程序使用单一登录，使用 Azure Active Directory 和运行 DirSync 的本地服务器来同步用户详细信息。

我添加了一个自定义域并通过将 TXT 记录添加到我的注册商网站上的 DNS 条目来验证它。为了做到这一点，我遵循了建议（来自 stackoverflow 问题），我需要取消选中“我计划配置此域以使用我的本地 Active Directory 进行单点登录”的选项，以便访问其他允许我证明域所有权的信息。

因此，该域已经过验证并且 Azure 识别出这一点，让我可以看到该域已“验证”，但此自定义域的单点登录值设置为“未计划”。

现在的问题是，我希望能够重新勾选该复选框，并启用此域以用于单点登录，因为我不想告诉我的用户使用他们的登录电子邮件地址为 'username@something. onmicrosoft.com '因为他们永远不会得到它，并且会纠缠我改变它。

所以，我的问题是：有没有办法重新勾选此框，并将此字段的状态从“未计划”更改为“未计划”，并（希望）允许我的用户使用他们的用户名@域登录。 com 而不是？

我已尝试删除域并重新添加它，但 Azure 阻止我删除它，因为它可能已经在其余过程中得到很好的利用。此外，我没有能力（或者至少看起来是这样！）回到 Azure 中的这个自定义域并对其进行修改。

更新：我已尝试停用目录集成目录同步 - 这允许我调整同步用户的电子邮件地址，但一旦再次激活同步，它们将恢复为 .onmicrosoft.com。

更新 2：我尝试安装 PowerShell 以远程管理自定义域以使其处于活动状态，但我无法连接，尽管尝试了几个小时。