【Azure API 管理】解决API Management添加AAD Group时遇见的 Failed to query Azure Active Directory graph due to error 错误
问题描述
为APIM添加AAD Group时候,等待很长很长的时间,结果添加失败。错误消息为:
Write Groups ValidationError :Failed to query Azure Active Directory graph due to error: An error occurred while processing this request.
有什么办法可以成功为APIM添加AAD Group呢?
问题分析
查阅官方文档(https://docs.azure.cn/zh-cn/api-management/api-management-howto-aad),在为APIM配置Indenties(标识, 特指AAD中的注册应用)时,必须为注册应用赋予正确的API Permission.
1) Microsoft Graph的Directory.Read.All 权限
2) Azure Active Directory Graph的Directory.Read.All权限。
但是,在Azure AAD的页面中,现在无法找到Azure Active Directory Graph部分,无法通过Azure门户进行添加。
在深入分析 Global Azure 的文档后(https://docs.microsoft.com/en-us/azure/api-management/api-management-howto-aad#add-an-external-azure-ad-group),得出可以通过PowerShell脚本来添加 Azure Active Directory Graph的Directory.Read.All权限。
PowerShell 脚本为:
$subId = "Your Azure subscription ID" #e.g. "1fb8fadf-03a3-4253-8993-65391f432d3a"
$tenantId = "Your Azure AD Tenant or Organization ID" #e.g. 0e054eb4-e5d0-43b8-ba1e-d7b5156f6da8"
$appObjectID = "Application Object ID that has been registered in AAD" #e.g. "2215b54a-df84-453f-b4db-ae079c0d2619"
#Login and Set the Subscription
az login
az account set --subscription $subId
#Assign the following permissions: Microsoft Graph Delegated Permission: User.Read, Microsoft Graph Application Permission: Directory.ReadAll, Azure Active Directory Graph Application Permission: Directory.ReadAll (legacy)
# 中国区graph的地址为:https://microsoftgraph.chinacloudapi.cn,需要进行替换
az rest --method PATCH --uri "https://microsoftgraph.chinacloudapi.cn/v1.0/$($tenantId)/applications/$($appObjectID)" --body "{'requiredResourceAccess':[{'resourceAccess': [{'id': 'e1fe6dd8-ba31-4d61-89e7-88639da4683d','type': 'Scope'},{'id': '7ab1d382-f21e-4acd-a863-ba3e13f7da61','type': 'Role'}],'resourceAppId': '00000003-0000-0000-c000-000000000000'},{'resourceAccess': [{'id': '5778995a-e1bf-45b8-affa-663a9f3f4d04','type': 'Role'}], 'resourceAppId': '00000002-0000-0000-c000-000000000000'}]}"
在以上的脚本中,必须注意以下几点:
1) appObjectID 的值获取的不是注册应用的Application Id,而是注册应用的Object ID
2) 发送PATCH请求的终结点需要修改为中国区Azure的终结点。参考开发说明文档:https://docs.azure.cn/zh-cn/articles/guidance/developerdifferences
从 graph.microsoft.com 修改为 microsoftgraph.chinacloudapi.cn
3) PATCH请求Body中包含的信息完全不用修改,它代表着Azure Active Directory Graph应用的Directory.ReadAll权限。
代码执行成功后,进入到Azure AD页面,查看是否已经存在Directory ReadAll权限
执行PowerShell命令
查看Directory ReadAll权限(注意:需要退出当前登录用户后,重新登录一次Azure 门户才可以看见)
最后,根据文档步骤,执行 Grant admin consent for {tenantname} 。
回到API Management页面,再次添加AAD Group。成功!
在完成这一步操作后,完全参考文档就可以实现:在 Azure API 管理中使用 Azure Active Directory 授权开发人员帐户 https://docs.azure.cn/zh-cn/api-management/api-management-howto-aad 。
动画展示结果
参考资料
在 Azure API 管理中使用 Azure Active Directory 授权开发人员帐户 :https://docs.azure.cn/zh-cn/api-management/api-management-howto-aad
Add an external Azure AD group : https://docs.microsoft.com/en-us/azure/api-management/api-management-howto-aad#add-an-external-azure-ad-group
中国区 Azure 开发人员指南 :https://docs.azure.cn/zh-cn/articles/guidance/developerdifferences
最新文章
- 跌倒了,再爬起来:ASP.NET 5 Identity
- 如何获取域名的ip地址
- Pureftpd
- 比较两个文件文件可以使用MD5比较工具
- 2001. Counting Sheep
- 批量修改Project视图中Prefab的名字
- 修改UI中的值,无反应解决办法
- iOS 10 因苹果健康导致闪退 crash-b
- cocos2d-x 3.0 final 中文显示
- (java)从零开始之-反射Reflect
- MAVEN入门(一)
- Struts学习之文件上传
- [编织消息框架][设计协议]优化long,int转换
- (luogu P1410)子序列 [TPLY]
- Lodop的TABLE中format格式化的使用
- JavaWeb基础之Servlet简单实现用户登陆
- java 分隔函数split("",-1)的用途
- Vue项目History模式404问题解决
- Jupyter Notebook 快捷键和技巧
- css 文本超出n行就隐藏并且显示省略号