用于日内瓦操作的HTTP连接器失败，使用"Bearer error=\“invalid_token\，error_description=\”签名无效“

Question

我在日内瓦工作流中使用Azure AD进行身份验证，代码片段粘贴在下面

{
    "inputs": {
        "method": "POST",
        "uri": "https://debugbot.trafficmanager.net/DebugBareMetal?scenarioType=anyToAny&srcResourceUri=/subscriptions/01d55b53-0203-4c60-8849-205598b4078b/resourceGroups/np-g-5726727a-f2ae-482f-92a5-abb03eeb0fc4/providers/Microsoft.Compute/virtualMachines/c-np-dfae3b00&destResourceUri=/subscriptions/01d55b53-0203-4c60-8849-205598b4078b/resourceGroups/SDNAPPLIANCEINSIGHTS-GLOBAL-RESOURCES-EASTUS2EUAP/providers/Microsoft.Network/networkInterfaces/BN7-AZB-DR244-NA002_VNIC&cloudType=public&allowHistorical=false&durationInMinutes=0",
        "authentication": {
            "type": "ActiveDirectoryOAuth",
            "authority": "https://login.microsoftonline.com",
            "tenant": "33e01921-4d64-4f8c-a055-5bdaffd5e33d",
            "audience": "https://graph.microsoft.com",
            "clientId": "5b4f7b22-68b8-4f82-a5ad-b15d83303e9a",
            "secret": "@{parameters('HTTPAuthAppSecret')}"
        }
    }
}

AAD应用程序是多租户，并已被允许上市的服务网址。我是不是遗漏了什么东西来打这个邮政电话？我需要设置我的AAD应用程序来公开API吗？

Answer 1

1. 设置受众和权威必须并且应该以适当的格式进行。权威一定是类似于"https://login.microsoftonline.com/tenantId 权限值是实例和TenantId值的连接。 "https://login.microsoftonline.com/"“：" tenantId "：”在这里输入tenantId“， 因此，请确保将instance and tenant、或完全交给authority本身。
2. 如果您正在调用Microsoft图形: scope=openid azure-ad-疑难解答，则需要使用User.Read配置文件。 如果应用程序没有调用图形，作用域必须类似于scope : {api app client_id}/.default。

或其他必需的范围，如https://api/<appId >/user_impersonation或Application (client) ID/.default

在这种情况下，听众必须是应用程序的appId或appidUri。

参考资料：

1. azure问题.github
2. AzureAD.github