シングルテナントモードでactive-directory-dotnet-webapi-onbehalfofサンプルを実行しようとしています。テナントのグローバル管理者としてWebアプリケーションサービスとネイティブアプリクライアントを登録しました。テナント内のユーザーとしてサンプルを実行すると、同意がポップアップした後に初めてクライアントでトークンを取得してから、サービスにコールすることができますが、そこでは失敗します。何故ですか?ドキュメンテーションによれば、テナントの管理者がアプリケーションを登録するとき、それ以上の同意は必要ありません。私はリモートWebAPIがOBOトークンを取得しようとしたときに同意することはできないと思います。何かバグがあるようです... AADチーム、OBO機能の使用方法を明確にしてください。サンプルactive-directory-dotnet-webapi-onbehalfofが動作しない
AADSTS65001:ユーザーまたは管理者がID「b824502e-fe8a-4770-bd98-8d65a07efcc3」のアプリケーションの使用に同意していません。このユーザーとリソースに対する対話型承認要求を送信します。 トレースID:ad7843d0-be4e-4098-8f7c-43c8e5505cfc 相関ID:140466a4-7250-429f-8843-dbd4f63dc60e タイムスタンプ:2016年11月25日21:46:13Z
はい、私はインタラクティブな同意を知っています - 問題は、OBO機能が文書化されているようにそのままでは機能しないことです。これはすぐに修正されることを願っています。 –
本当にこれが同意の問題である場合、私はあなたがOBO機能で問題を見つけているように感じます。私のポストで述べたように、Azureポータルは一連の要件が満たされていると仮定して、同意を書いています。あなた側の調査は、同意記録が記録されない原因となっている問題を理解しようとすることです。たとえば、ユーザーアカウントが実際にテナント管理者ではないことがわかります。また、OBOフローに参加する各アプリケーションは、同意を記録する必要があります。 –