API Azure AD Graph - Changer de jeton Portée à User.ReadBasic.All

Question

Comment demander l'étendue User.ReadBasic.All sur un jeton d'accès pour l'API Azure Graph? J'essaie en faisant une demande à

https://login.microsoftonline.com/[tenant]/oauth2/token

passant sur les paramètres suivants

• client_id (de l'application Azure)
• grant_type = mot de passe
• resource = https://graph.windows.net
• client_secret (de l'application Azure)
• nom d'utilisateur (nom d'utilisateur pour le compte autorisé)
• mot de passe (mot de passe pour le compte autorisé)
• scope = user.readbasic.all

Cependant, la jeton que je reviens montre le Scope comme "User.Read" qui me permet seulement de lire le profil de l'utilisateur qui est le nom d'utilisateur/mot de passe que je fournis dans la demande. Je dois être capable de lire le profil de base de N'IMPORTE QUEL utilisateur avec ce jeton.

Lorsque je me connecte avec mon compte à l'Explorateur de graphiques, je peux lire n'importe quel profil d'utilisateur que je veux. Qu'est-ce qu'ils envoient que je ne suis pas?

Qu'est-ce qui me manque ici?

Answer 1

Vous mélangez les extrémités V1 et V2. Dans le V2 endpoint, nous prenons en charge une chaîne de requête scope qui vous permet de déterminer dynamiquement les portées que vous souhaitez dans votre jeton d'accès au moment de la demande de jeton. Toutefois, pour le point de terminaison V1, vous devez configurer à l'avance les autorisations dont vous avez besoin pour les API que vous essayez d'appeler.

Vous devez accéder à la configuration de votre application et sélectionner l'autorisation appropriée pour l'API AAD Graph. Here is a screenshot à partir du portail Azure.