【Azure Developer】使用Microsoft Graph API 批量创建用户,先后遇见的三个错误及解决办法

简介: 【Azure Developer】使用Microsoft Graph API 批量创建用户,先后遇见的三个错误及解决办法

问题描述

在先前的一篇博文中,介绍了如何使用Microsoft Graph API来创建Azure AD用户(博文参考:【Azure Developer】使用Microsoft Graph API 如何批量创建用户,用户属性中需要包含自定义字段(如:Store_code,Store_name等),但是在调用创建AAD用户之前,因为请求的Header中必须包含Authorization:Bearer {token}值。

在中国区获取Graph API的Authorization可以参考调用专用的API来获取身份验证的Token:

###post 请求:
https://login.partner.microsoftonline.cn/<tenantID>/oauth2/token 
###body 信息: 
grant_type: client_credentials #固定值 
resource: https://microsoftgraph.chinacloudapi.cn/ #固定值 
client_secret: AAD 密钥 
client_id: AAD 客户端ID #固定值

PS: 除固定值外,其他值都需要在Azure门户的AAD所注册的应用中获取(如不知如何获取,可参考博文:【Azure Developer】使用Postman获取Azure AD中注册应用程序的授权Token,及为Azure REST API设置Authorization

成功使用Postman获取到Access Token截图示例:

 

但是在成功的走出第一步后,接下来调用 API 创建User时,接连获取到如下的三个错误:

1){ "code": "InvalidAuthenticationToken", "message": "Signing key is invalid.",  }

2){ "code": "Authorization_RequestDenied", "message": "Insufficient privileges to complete the operation.",  }

3){ "code": "Request_BadRequest", "message": "The domain portion of the userPrincipalName property is invalid. You must use one of the verified domain names in your organization.",  }

 

问题一:Signing key is invalid

错误截图:

分析Signing Key is invalid错误,是因为所获取的Token在请求时验证无效,但是Token明明是通过 https://login.partner.microsoftonline.cn/<tenantID>/oauth2/token 获取的。在检查在Users的API URL时,发现使用的为官网(https://docs.microsoft.com/zh-cn/graph/api/user-post-users?view=graph-rest-1.0&tabs=http)中的graph.microsoft.com(Global Azure Graph endpoint),而它和Token的请求URL不是同一个Azure环境(中国区Azure)。所以这里需要修改users的API为: https:/ /microsoftgraph.chinacloudapi.cn/v1.0/users

PS: 在使用AAD User时,一定要非常留意所使用的Azure环境,根据环境决定所请求的Endpoint,这可以避免很多错误。

 

Source:https://docs.azure.cn/zh-cn/articles/guidance/developerdifferences?toc=%2fguides%2fdeveloper%2ftoc.json#check-endpoints-in-azure

 

问题二:Insufficient privileges to complete the operation

错误截图:

出现“Insufficient privileges to complete the operation”报错的原因是Clinet (即在AAD中所注册的Application) 没有执行此Users API的权限,需要到门户中按照文档要求授予相应的权限才可以。

 

(Source: https://docs.microsoft.com/zh-cn/graph/api/user-post-users?view=graph-rest-1.0&tabs=http#permissions)

授予Application的权限步骤有三:

1)进入AAD的Application 页面,选择“API 权限” ——> 点击“添加权限” ——> 选择 “Microsoft Graph”

2)选择应用程序权限,添加 "Microsoft Graph"的 User.ReadWrite.All、Directory.ReadWrite.All

3)完成第二步后,需要用管理员账号登录Azure,来”代表Microsoft授予管理员同意“操作

 

 

问题三:The domain portion of the userPrincipalName property is invalid

错误截图:

这个 "The domain portion of the userPrincipalName property is invalid".表明参数userPrincipalName的domain部分要和AAD中组织(tenant)名称中的名称一致。

contoso.onmicrosoft.com这个参数是官方文档的示例所用,并不是正确的一个组织域名。所以需要在AAD门户页面的概述中看到正确的域名:如:

 

 

参考资料

检查 Azure 中的终结点https://docs.azure.cn/zh-cn/articles/guidance/developerdifferences?toc=%2fguides%2fdeveloper%2ftoc.json#check-endpoints-in-azure

创建用户https://docs.microsoft.com/zh-cn/graph/api/user-post-users?view=graph-rest-1.0&tabs=http#permissions

相关文章
|
24天前
|
安全 数据挖掘 API
解锁数据宝藏:Microsoft Graph API的统一数据革命
解锁数据宝藏:Microsoft Graph API的统一数据革命
26 0
|
3月前
|
安全 API 网络安全
【Azure API 管理】APIM不能连接到 App Service (APIM cannot connect to APP service)
【Azure API 管理】APIM不能连接到 App Service (APIM cannot connect to APP service)
|
3月前
|
API 开发工具 网络架构
【Azure Developer】如何通过Azure Portal快速获取到对应操作的API并转换为Python代码
【Azure Developer】如何通过Azure Portal快速获取到对应操作的API并转换为Python代码
|
3月前
|
存储 Kubernetes API
【APIM】Azure API Management Self-Host Gateway是否可以把请求的日志发送到Application Insights呢?让它和使用Azure上托管的 Gateway一样呢?
【APIM】Azure API Management Self-Host Gateway是否可以把请求的日志发送到Application Insights呢?让它和使用Azure上托管的 Gateway一样呢?
|
3月前
|
API 网络架构 C++
【Azure Key Vault】使用REST API调用Azure Key Vault Secret的示例步骤
【Azure Key Vault】使用REST API调用Azure Key Vault Secret的示例步骤
|
3月前
|
API 网络架构
【Azure Developer】使用 Microsoft Graph API查看用户状态和登录记录
【Azure Developer】使用 Microsoft Graph API查看用户状态和登录记录
|
9天前
|
编解码 监控 API
直播源怎么调用api接口
调用直播源的API接口涉及开通服务、添加域名、获取API密钥、调用API接口、生成推流和拉流地址、配置直播源、开始直播、监控管理及停止直播等步骤。不同云服务平台的具体操作略有差异,但整体流程简单易懂。
|
21天前
|
人工智能 自然语言处理 PyTorch
Text2Video Huggingface Pipeline 文生视频接口和文生视频论文API
文生视频是AI领域热点,很多文生视频的大模型都是基于 Huggingface的 diffusers的text to video的pipeline来开发。国内外也有非常多的优秀产品如Runway AI、Pika AI 、可灵King AI、通义千问、智谱的文生视频模型等等。为了方便调用,这篇博客也尝试了使用 PyPI的text2video的python库的Wrapper类进行调用,下面会给大家介绍一下Huggingface Text to Video Pipeline的调用方式以及使用通用的text2video的python库调用方式。
|
21天前
|
JSON JavaScript API
(API接口系列)商品详情数据封装接口json数据格式分析
在成长的路上,我们都是同行者。这篇关于商品详情API接口的文章,希望能帮助到您。期待与您继续分享更多API接口的知识,请记得关注Anzexi58哦!
|
5天前
|
JSON API 开发者
1688API商品详情接口如何获取
获取 1688 API 商品详情接口的步骤包括:1. 注册开发者账号;2. 了解接口规范和政策;3. 申请 API 权限;4. 获取 API 密钥;5. 实现接口调用(选择开发语言、发送 HTTP 请求);6. 处理响应数据。通过这些步骤,可以顺利调用 1688 的商品详情 API。