为什么AcquireToken with ClientCredential与invalid_client (ACS50012)一起失败？

Question

为什么我的Azure广告应用程序不允许oauth client_credentials授权？

我想使用，但首先我需要一个oauth令牌。为了获得令牌，我尝试使用Microsoft.IdentityModel.Clients.ActiveDirectory (AdalVersion1.0.3)(来自NuGet)。

我使用的是AuthenticationContext.AcquireToken的重载，它接受一个ClientCredential对象。(我不能使用提示用户登录的重载，因为我正在编写服务，而不是应用程序。)

我配置了Azure应用程序，如各种教程/示例(例如ADAL到服务器身份验证)中所描述的那样。

我的代码看起来是：

AuthenticationContext ac = new AuthenticationContext("https://login.windows.net/thommmondago.onmicrosoft.com");
ClientCredential cc = new ClientCredential("41151135-61b8-40f4-aff7-8627e9eaf853", clientSecretKey);
AuthenticationResult result = ac.AcquireToken("https://graph.windows.net", cc);

AcquireToken行抛出一个异常：

sts_token_request_failed: Token request to security token service failed.  Check InnerException for more details

内部异常是一个WebException，接收到的响应看起来像是oauth错误：

{ "error":"invalid_client",
 "error_description":"ACS50012: Authentication failed."
 "error_codes":[50012],
 "timestamp":"2014-03-17 12:26:19Z",
 "trace_id":"a4ee6702-e07b-40f7-8248-589e49e96a8d",
 "correlation_id":"b304af2e-2748-4067-99d0-2d7e55b121cd" }

绕过ADAL并在oauth端点上使用curl也会产生同样的错误。

如果我使用找到这里的Azure应用程序的详细信息，我的代码就能工作

AuthenticationContext ac = new AuthenticationContext("https://login.windows.net/graphDir1.onmicrosoft.com");
ClientCredential cc = new ClientCredential("b3b1fc59-84b8-4400-a715-ea8a7e40f4fe", "FStnXT1QON84B5o38aEmFdlNhEnYtzJ91Gg/JH/Jxiw=");
AuthenticationResult result = ac.AcquireToken("https://graph.windows.net", cc);

所以这不是我的代码的错误。我认为这要么是我的Azure AD的错误，要么是我的ClientCredential参数弄错了。

Answer 1

这是Windows中的一个错误，我的代码或配置没有什么问题。

在微软修复了Azure的问题后，我不得不创建一个新的应用程序，它开始工作了。

来自微软的论坛答复：

嗨, 我们看到在几天内创建的应用程序出现了一些错误，昨天就结束了。我们正在继续修复这些应用程序，但我没有一个好的eta，什么时候会这样做。我为这里的影响道歉。 您能尝试创建一个新的应用程序并使用新的客户端id重试操作吗？ 谢谢

Answer 2

看一下这个链接：https://azure.microsoft.com/en-gb/documentation/articles/resource-manager-net-sdk/

Active身份验证库的最新版本不支持AcquireToken方法，而是必须使用AcquireTokenAsync方法。

var result = await authenticationContext.AcquireTokenAsync(resource: "https://{domain}.onmicrosoft.com/{site-if applicable}", clientCredential: credential);

Answer 3

我有同样的问题，但只运行直接从Azure (在Azure网站内)的代码。

我解决了将'Microsoft.IdentityModel.Clients.ActiveDirectory‘包升级到2.6.1-alpha的问题