J'ai un client natif qui appelle un service que j'ai écrit - qui à son tour appelle l'API graphique (en utilisant les informations d'identification de l'appelant d'origine).Comment configurer l'authentification au nom de l'utilisateur dans un environnement multi-locataires?
C'est exactement comme l'échantillon « onbehalfof » trouvé ici (mon code ne la même manière que l'échantillon):
https://github.com/Azure-Samples/active-directory-dotnet-webapi-onbehalfof
Lorsque vous vous connectez en tant qu'utilisateur du même locataire que le service (locataire A), tout fonctionne bien (comme la part de l'échantillon). Lors de la connexion en tant qu'utilisateur d'un locataire différent (locataire B), je reçois une exception à cette ligne dans la fonction:
result = await authContext.AcquireTokenAsync(GraphResourceId, clientCred, userAssertion);
(cette ligne est de 153 TodoListController.cs dans l'échantillon onbehalfof).
L'exception est la suivante:
AADSTS65001: L'utilisateur ou l'administrateur n'a pas consenti à utiliser l'application avec ID 'de2fb28b-83f8-419d-9b00-3fbce0a60bf4. . Envoyer une demande d'autorisation interactive pour cet utilisateur et des ressources \ r \ nTrace ID: 6865c420-674a-4adf-a070-3d9b9c500200 \ r \ nCorrelation ID: 7e088563-d7fe-4131-a05c-cbe04dbb2bbd \ r \ nTimestamp: 2017 -03 à 29 22: 56: 58Z
l'ID d'application ci-dessus se réfère à la fonction I écrit (qui est la même ligne dans la TodoListService dans le onbehalfofsample).
J'ai tout configuré pour l'authentification multi-locataire. Mais c'est l'appel supplémentaire que mon service effectue vers un autre service (API graphique) à l'origine du problème. Quelle configuration supplémentaire dois-je faire dans le portail Azure pour que cela fonctionne?
Ces "commentaires" doivent être modifiés dans le message d'origine. –