如何获取令牌的“user_impersonation”范围

Question

我通过Azure门户在Azure活动目录中创建一个应用程序。我对'user_impersonation‘拥有'Request权限’。

​

​

在使用msal.js库的JS代码中，我尝试使用这个作用域请求令牌，但没有得到任何令牌。

   scopes: ["user_impersonation"]

但如果我用

scopes: ["User.Read"]

或

scopes: [.default]

我要回一笔钱。

Answer 1

我试图复制您的问题，得到与您相同的情况，因为user_imporsonation作用域名称可能是任意的，因为它是一个自定义作用域，只要您的代码检查您创建的相同的作用域名称。

从这次https://github.com/Azure-Samples/active-directory-dotnet-native-desktop/issues/36讨论中得出结论，可能仍然存在来自MS的同步问题。您可以向GITHUB请求发出相同的请求，也可以与https://learn.microsoft.com/en-us/azure/azure-portal/supportability/how-to-create-azure-support-request团队联系。

scope是公开API的Application ID URI，后面是/.default。如果没有/.default，您将得到如下错误：

​

​

尝试用https://learn.microsoft.com/en-us/azure/active-directory/develop/msal-v1-app-scopes作用域更改应用清单，但没有帮助。

要使此工作正常，您必须使用./，或者如果试图指定特定权限，则必须是应用程序权限才能与Client_Credentials flow一起工作。

​

​

对于我来说，我无法为我在Exposed API中创建的自定义作用域提供Exposed API，而且delegated permission也得到了相同的错误。如果你能给application permission试一试。

​

​