使用UPN (用户主体名称)使用Azure AD进行身份验证

Question

我有个9角的客户调用Azure函数。我从使用“隐式授予流”进行身份验证的msal-angular包开始，效果很好。

我在Azure注册的客户端应用程序的身份验证设置为"Accounts in this organizational directory only (Default Directory only - Single tenant)"。我不能改变这个设置，因为应用程序将只提供给公司用户。

我使用我的个人微软帐户的Gmail用户名(例如：user@gmail.com)。这个帐户是一个“客人”在Azure广告，到目前为止，很好。

我要离开msal-angular，实现PKCE authentication flow。

我用的是angular-auth-oidc-client包。我的stsServer和authWellknownEndpoint设置为https://login.microsoftonline.com/[tenant-id]/v2.0 (原来是问题所在，请参见底部的更新)

下面是我遇到问题的登录场景：

1. 当我使用我的user@gmail.com时，我输入用户名后就会得到"unauthotized_client ..."错误

1. 当我使用UPN (例如：user@gmail.com#EXT#@our_ad_owner.onmicrosoft.com)时，我会得到密码提示，但我的Microsoft密码不起作用。我理解为什么它不能工作(这个密码与AD无关)，但我不知道如何为该帐户设置AD密码。

当我试图在AD中重置密码时，它告诉我"user@gmail.com is a Microsoft account that is managed by the user. Only user@gmail.com can reset their password for this account."

任何帮助为我的UPN设置广告密码将不胜感激。我还想知道是否可以用我的实际电子邮件地址登录，而不是UPN.。

angular-auth-oidc-client更新:问题在于 authWellknownEndpoint 安装程序，在我将其更改为** https://login.microsoftonline.com/[tenant-id]/v2.0 之后， https://login.microsoftonline.com/[tenant-id]/v2.0被设置为 https://login.microsoftonline.com/common/v2.0**，！

Answer 1

您得到了第一个错误，因为您使用https://login.microsoftonline.com/common/v2.0作为权限。它将您的帐户视为个人帐户，而不是租户中的来宾帐户。但是您的Azure应用程序被配置为Accounts in this organizational directory only (Default Directory only - Single tenant)，它不支持消费者(个人帐户)。请参阅参考这里。

因此，您应该使用https://login.microsoftonline.com/{your tenant id}/v2.0作为权限。然后它将允许您的user@gmail.com登录。